ftp verweigert den Verbindungsaufbau

Probleme mit Samba, NFS, FTP und Co.
Antworten
tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 08.01.2017 11:05:24

Hallo Experten,

ich verzweifel hier mit meinem ftp Server, hängt in einem Homeserver. Debian 8 ohne GUI, vsftpd mit 1 neu angelegten User und dem nonpriv, beide sind in der vsftpd.conf hinterlegt.
# Uncomment this to enable any form of FTP write command.
write_enable=YES
chown_uploads=YES
chown_username=*****
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
nopriv_user=*****
iptables:
root@*****:/home/*****# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp ctstate NEW,ESTABLISHED /* Allow ftp connections on port 21 */
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data ctstate RELATED,ESTABLISHED /* Allow ftp connections on port 20 */
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535 ctstate ESTABLISHED /* Allow passive inbound connections */

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp ctstate NEW,ESTABLISHED /* Allow ftp connections on port 21 */
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data ctstate ESTABLISHED /* Allow ftp connections on port 20 */
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535 ctstate RELATED,ESTABLISHED /* Allow passive inbound connections */

Habe unzählige Seiten durchgesucht, verschiedene iptable Varianten probiert, aber sobald ich mich z. B. über Konquerer mit ftp://user@ip anmelden will, wirft es mir folgendes entgegen
Server <strong>ip</strong> lehnt eine Verbindung mit diesem Rechner ab.
Hat jemand eine Idee wo es hakt?

Benutzeravatar
whisper
Beiträge: 3155
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: ftp verweigert den Verbindungsaufbau

Beitrag von whisper » 08.01.2017 11:31:47

manpage hat geschrieben:log_ftp_protocol
When enabled, all FTP requests and responses are logged, providing the option xferlog_std_format is not enabled. Useful for debugging.

Default: NO
Das mach mal an

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: ftp verweigert den Verbindungsaufbau

Beitrag von schwedenmann » 08.01.2017 11:42:25

Hallo

ev. wäre auch hilfreich mal die komplette config von vsftpd zu posten.


mfg
schwedenmann

DeletedUserReAsG

Re: ftp verweigert den Verbindungsaufbau

Beitrag von DeletedUserReAsG » 08.01.2017 12:14:26

Asteriske sind auch, soweit ich weiß, keine zulässigen Zeichen in Usernamen. Ansonsten ist’s auch nicht die schlechteste Idee, ins Log zu schauen.

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 08.01.2017 12:19:09

danke für die schnelle Hilfe

vsftpd.conf

in der Log habe ich einen erfolglosen Versuch von gestern, heute logt es schon gar nichts mehr.
Sat Jan 7 22:00:46 2017 [pid 6727] CONNECT: Client "::ffff:192.168.***"
Sat Jan 7 22:00:46 2017 [pid 6729] CONNECT: Client "::ffff:192.168.***"
Sat Jan 7 22:00:54 2017 [pid 6728] [***] FAIL LOGIN: Client "::ffff:192.168.***"
Sat Jan 7 22:00:54 2017 [pid 6726] [***] FAIL LOGIN: Client "::ffff:192.168.***"
Sat Jan 7 22:00:55 2017 [pid 6732] CONNECT: Client "::ffff:192.168.***"
Sat Jan 7 22:00:55 2017 [pid 6733] CONNECT: Client "::ffff:192.168.***"
Zuletzt geändert von KBDCALLS am 08.01.2017 12:31:11, insgesamt 1-mal geändert.
Grund: Beachte bitte Punkt 2.6 der Verhaltensregeln

DeletedUserReAsG

Re: ftp verweigert den Verbindungsaufbau

Beitrag von DeletedUserReAsG » 08.01.2017 12:49:38

Die meisten ftpd kann man im Debug-Modus starten um dann genauere Infos zu bekommen. Weiterhin ist’s kontraproduktiv, IPs und IDs zu zensieren, wenn’s sich eh um interne Sachen handelt, die von außen irrelevant sind. Fehler mögen so mitmaskiert werden, und den Lesefluss stört’s ungemein.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: ftp verweigert den Verbindungsaufbau

Beitrag von schwedenmann » 08.01.2017 12:55:53

Hallo

Aber ein
ping -c3 Serverip vom Konquerorpc funktioniert ?

Sind die jeweiligen IP schon in der jeweiligen /etc/hosts eingetragen ?

mfg
schwedenmann
P.S.

warum chrootest du die lokalen user nicht ?

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 08.01.2017 13:21:30

schwedenmann hat geschrieben:Hallo

Aber ein
ping -c3 Serverip vom Konquerorpc funktioniert ?

Sind die jeweiligen IP schon in der jeweiligen /etc/hosts eingetragen ?

mfg
schwedenmann
P.S.

warum chrootest du die lokalen user nicht ?
Der Server hat eine statische IP, ich bin auch gerade per SSH drauf, jedenfalls mit dem nicht-FTP User, dort habe ich SSH deaktiviert. Die hosts ist leer, da ich generell per IP reingehe.
Bzgl. lokale Benutzer dachte ich mir, dass ich einen neuen User erstelle, da der FTP Server aktuell primär dazu dienen soll, den Stream einer IP Kamera zu speichern, und da wollte ich einen komplett neuen User wählen, der sonst keine großartigen Rechte besitzt.

@niemand

Auch wenn sich der Server aktuell noch im LAN befindet, habe ich mir schon vor längerer Zeit angewöhnt, im Rahmen des social engineering gewisse Angaben unkenntlich zu machen. Schon eine private IP kann einiges aussagen, etwa lässt die .178 auf eine FB schließen. Und Usernamen postet bestimmt niemand gerne durch das Netz, schließlich vergisst das Internet nichts, und sollte der Server irgendwann mal Zugang zum WAN haben, und sei es nur wegen der DMZ mittels port forwarding, dann möchte ich mir nicht überlegen, was ich alles schon gepostet habe und sicherheitshalber ändern möchte, weil ich es als potentielles Sicherheitsrisiko sehe, auch wenn die Wahrscheinlichkeit sicherlich sehr gering ist. Aber stimmt schon, ich hätte die private IP nicht ändern brauchen. Debug muss ich mal versuchen, ich lese mich da nachher mal ein

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 08.01.2017 13:45:19

Ich habe jetzt mal folgendes in die conf eingetragen.
ftp_user_log=YES
xferlog_enable=YES
Danach versucht mich einzuloggen, kein neuer Eintrag in der log, wieder kein Verbindungsaufbau. Ich verstehe es nicht.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: ftp verweigert den Verbindungsaufbau

Beitrag von schwedenmann » 08.01.2017 13:49:44

Hallo


Funktioniert der ftp-login mit einem anderen normalen user denn ?


mfg
schwedenmann

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: ftp verweigert den Verbindungsaufbau

Beitrag von habakug » 08.01.2017 15:25:27

Hallo!

Code: Alles auswählen

[...]
# Run standalone?  vsftpd can run either from an inetd or as a standalone
# daemon started from an initscript.
listen=NO
[...]
Wie ist denn (x)inetd konfiguriert. Wenn dir das nichts sagt, mal mit YES probieren ;-)

Gruss, habakug
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 08.01.2017 17:44:17

listen auf yes gesetzt, per /etc/init.d/vsftpd restart neu eingelesen, kein Erfolg. Und nein, ich komme mit keinem User rein, aber ich habe es meines Wissens auch so konfiguriert, dass nur ein User Zugriff hat, da wie schon erwähnt im Moment der einzige Zweck im Speichern des Cam-Streams besteht. Daher habe ich mich mit einem ftp Server bisher auch nicht beschäftigt.

Unter /var/log/vsftpd.log ist immer noch kein neuer Eintrag.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: ftp verweigert den Verbindungsaufbau

Beitrag von schwedenmann » 08.01.2017 18:10:28

Hallo



was steht denn in der /etc/hosts.allow drin?

schreib da mal auf dem Server, die IP des clientPC rein.

mfg
schwedenmann

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 08.01.2017 19:24:35

schwedenmann hat geschrieben:Hallo



was steht denn in der /etc/hosts.allow drin?

schreib da mal auf dem Server, die IP des clientPC rein.

mfg
schwedenmann
Habe ich gemacht, inklusive tcp_wrappers=YES in der conf, bringt immer noch nicht, wieder kein Eintrag in der conf. Auch über dolphin habe ich es inzwischen versucht, Fehlanzeige

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: ftp verweigert den Verbindungsaufbau

Beitrag von schwedenmann » 08.01.2017 19:28:47

Hallo


hast du mal einen reinen ftp-Client (filezilla, gftp) benutzt ?


mfg
schwedenmann

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 08.01.2017 19:40:40

Nein, noch nicht. In der Zwischenzeit habe ich lokaler User in der config auskommentiert, bringt auch nichts. Ist wirklich very secure :D

Edit: ach ja, das habe ich auch noch versucht:
Because of a recent vsftpd upgrade, vsftpd is "refusing to run with writable root inside chroot". A handy way to address this issue to is to take the following steps:

Create a new directory within the user's home directory

mkdir /home/username/files

Change the ownership of that file to root

chown root:root /home/username

Make all necessary changes within the "files" subdirectory

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 08.01.2017 19:54:27

Und auch per bash
ftp: connect: Connection refused

DeletedUserReAsG

Re: ftp verweigert den Verbindungsaufbau

Beitrag von DeletedUserReAsG » 08.01.2017 20:38:07

Mal mit z.B. netstat geschaut, ob der Daemon überhaupt an dem Port hängt? „Connection refused” bedeutet eigentlich, dass der Port nicht geöffnet ist.

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 08.01.2017 22:51:12

niemand hat geschrieben:Mal mit z.B. netstat geschaut, ob der Daemon überhaupt an dem Port hängt? „Connection refused” bedeutet eigentlich, dass der Port nicht geöffnet ist.
Treffer. Weder nmap noch netstat zeigen 21 auf listen. Ich habe jedoch schon im Laufe des Tages folgenden Eintrag in die conf hinzugefügt
listen_port=21
ftp_data_port=20
was ich auf einem Tutorial gesehen habe. Muss ich mich dann doch in die inetd einarbeiten?

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 09.01.2017 09:39:15

Ich komme nicht weiter. Habe jetzt unzählige Seiten durchgeschaut, bin aber auch selbst schuld, denn die einfachsten Dinge vergisst man irgendwie immer. Etwa wie mal zu schauen, ob der Service überhaupt läuft:
root@***:/etc# /etc/init.d/vsftpd restart
[ ok ] Restarting vsftpd (via systemctl): vsftpd.service.
root@***:/etc# service vsftpd status
● vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled)
Active: failed (Result: exit-code) since Mo 2017-01-09 09:19:15 CET; 4s ago
Process: 2703 ExecStart=/usr/sbin/vsftpd /etc/vsftpd.conf (code=exited, status=2)
Process: 2700 ExecStartPre=/bin/mkdir -p /var/run/vsftpd/empty (code=exited, status=0/SUCCESS)
Main PID: 2703 (code=exited, status=2)

Jan 09 09:19:15 *** systemd[1]: Started vsftpd FTP server.
Jan 09 09:19:15 *** systemd[1]: vsftpd.service: main process exited, code=exited, status=2/INVALIDARGUMENT
Jan 09 09:19:15 *** systemd[1]: Unit vsftpd.service entered failed
In manchen Fällen soll es schon geholfen haben, IPv6 wieder anzuwerfen, brachte bei mir nichts. Andere User mussten es erst auskommentieren, damit es läuft, aber das ist bei mir ja schon länger der Fall. Ich nehme jetzt nochmal die config aus meinem zweiten Post und fange von vorne an, habe in der Zwischenzeit so viel daran geändert, dass dies wohl der schnellste Weg ist.

Edit: die alte conf mit dem Zusatz listen=yes bringt auch nichts.

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 09.01.2017 13:02:43

Ich verstehe es immer weniger. Ich habe aus dem Netz eine funktionierende conf genommen
write_enable=YES
dirmessage_enable=YES
nopriv_user=ftpsecure
local_enable=YES
local_umask=022
chroot_local_user=YES
anonymous_enable=NO
connect_from_port_20=YES
pam_service_name=vsftpd
listen=YES
listen_ipv6=NO
ssl_enable=NO
pasv_min_port=30000
pasv_max_port=30100
damit ging es auf einmal
root@''':/etc# service vsftpd status
● vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled)
Active: active (running) since Mo 2017-01-09 12:44:07 CET; 6s ago
Process: 3991 ExecStartPre=/bin/mkdir -p /var/run/vsftpd/empty (code=exited, status=0/SUCCESS)
Main PID: 3994 (vsftpd)
CGroup: /system.slice/vsftpd.service
└─3994 /usr/sbin/vsftpd /etc/vsftpd.conf
Daraufhin wollte ich schauen, was an meiner alten conf nicht gepasst hat, habe die funktionierende Conf oben reinkopiert und dann Stück für Stück die einzelnen Linien aus- oder einkommentiert. Als Ergebnis habe ich nun, dass selbst wenn die conf die funktinierenden Angaben enthält sowie die alte conf direkt darunter, jedoch komplett auskommentiert, es trotzdem nicht geht. Lösche ich die auskommentierten Zeilen komplett raus und lasse nur die einzelnen funktionierenden Zeilen drin, geht es wieder. Dank copy and paste kann ich Schreibfehler ausschließen.

Kann mir das jemand mal logisch erklären?

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: ftp verweigert den Verbindungsaufbau

Beitrag von schwedenmann » 09.01.2017 13:07:23

Hallo


Ev. mal den vsftpd neu starten :mrgreen:

systemctl restart vsftpd.service


mfg
schwedenmann

tim11
Beiträge: 129
Registriert: 18.11.2015 14:58:22

Re: ftp verweigert den Verbindungsaufbau

Beitrag von tim11 » 09.01.2017 13:44:39

schwedenmann hat geschrieben:Hallo


Ev. mal den vsftpd neu starten :mrgreen:

systemctl restart vsftpd.service


mfg
schwedenmann
nach jeder Änderung habe ich mittels
/etc/init.d/vsftpd restart
neu eingelesen und den Status mit
service vsftpd status
überprüft.

Inzwischen läuft es, ich habe testweise die alte conf genommen, alle auskommentierten Zeilen gelöscht und nun geht es mit folgender config
listen=YES
listen_ipv6=NO
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
chown_username=***
nopriv_user='''
pam_service_name=vsftpd
ssl_enable=NO
Keine Ahnung warum es nicht geht, ich kommentiere bei allen anderen conf alles an Bemerkungen und Änderungen aus, jeder neue Eintrag wird mit Datum registriert, noch nie ein Problem, und hier sowas.

Egal, es geht, danke an alle für die geduldige Hilfe

Antworten