[Risolto] Problema proftpd & tls

Programmazione e Server Server
#1

Salve ragazzi, ho già configurato sul mio serverino a casa un servizio ftp con proftpd, e tutto funziona tranquillamente. Ora ho voluto aggiungere anche la connessione cifrata tls, e fin qui tutto bene, il server parte, riesco a loggarmi usando la connessione cifrata, solo che poi non riesco a fare il list dei file. Una cosa che ho notato è che usando la connessione non cifrata il server mi restituisce questo

Risposta:	227 Entering Passive Mode (93,144,199,101,108,133).

mentre invece se uso la connessione tls mi restituisce questo

Risposta:	227 Entering Passive Mode (10,0,0,25,128,128).

cioè mi da come indirizzo del server l’indirizzo ip locale, mentre nel primo caso giustamente mi da l’indirizzo pubblico.
Perchè? Avete idee al riguardo? Spero in un vostro aiuto :frowning:

#2

Nessuno ha idea?:frowning:

#3

il log ?

#4

Grazie per la risposta. Il log non dice nulla di anomalo, dice solo che la connessione cifrata parte senza problemi… boh… quello che ho scritto nel primo post sono le risposte date al client, nel particolare a filezilla

#5

strano. sfogliare le dir non dovrebbe essere un problema, in questo caso.
alcune domande:
il log cui ti riferisci è
/var/log/proftpd/tls.log
vero ?

con filezilla hai abilitato il FTPES ?
ti accetta tranquillamente il certificato, all’accesso ?

il parametro TLSRequired è on?

#6

Si, è abilitato ftpes e il certificato lo accetta tranquillamente. Il file di log è quello indicato da te e quella opzione è impostata su off, dato che voglio dare anche la possibilità di accesso non cifrato. Può essere quello il problema?

#7

giusto per toglierci tutti i dubbi, mettilo a on.

Verifica anche che sia impostato esplicitamente il “passive mode” in filezilla, e verifica l’utilizzo dell’ip esterno, sempre nella scheda opzione “passive mode”

Inoltre prova l’accesso anche da alltri client, sempre con le stesse impostazioni.

se anche così ci sono problemi proviamo ad analizzare più approfonditamente.
statte bonu fratè

#8

allora, ho provato anche con kftpgrabber, in lan, ma la situazione stranamente non è cambiata. Ho messo on sulla richiesta della connessione tls, ma niente, non mi lista le cartelle. Ora inizio a preoccuparmi, perché in lan dovrebbe funzionare, invece non è andato…

P.S. scusa se rispondo così in ritardo, ma son mancato tutta la settimana

#9

ok allora facciamo così:
per le prove butta giù il firewall
e dammi

grep -i passive /etc/proftpd.conf

edit:
se non restituisce niente allora aggiungi al .conf

#PASV range
PassivePorts 49152 65534

riavvia il server e riprova la connessione

#10

ho disabilitato il firewall, e adesso almeno in lan tutto va bene, riesco a sfogliare le cartelle.
Dall’esterno invece è come prima, leggo da filezilla questo

Comando: PASV Risposta: 227 Entering Passive Mode (10,0,0,25,182,37). Stato: Il server ha inviato una risposta passiva contenente un indirizzo non raggiungibile. Sarà usato l'indirizzo del server.
ftp normale invece tutto bene. ma quale diavolo di indirizzo gli viene restituito???

#11

mi mancano pezzi di risposte: la direttiva passive l’hai inserita?
ti riassumo quello che devi fare:

1)aggiungere la direttiva passivePorts (vedi post precedente)

2)abilita il firewall

3)aggiungi ed adatta la seguente direttiva
iptables -I INPUT -m state --state NEW -j ACCEPT -p tcp -m multiport --ports 49152:65534

4)ricorda di abilitare nel client la direttiva PASV mode

ad occhio questo dovrebbe essere il necessario per far andare tutto

#12

la direttiva passiveMode è stata inserita nel conf di proftpd, ho impostato il client per utilizzarlo, ho riattivato il firewall e ho aggiunto la regola che mi hai scritto tu, ora in lan non ci sono più problemi, ma il problema rimane se io tento di collegarmi dall’esterno, in quanto il client usa l’indirizzo ip privato. La cosa che non riesco a spiegarmi è perché tutto funziona bene con la connessione normale, dato che la configurazione è la stessa :-?

#13

edit: ma il problema dall’esterno è ancora sul list vero? se si:

ora dovremmo fare qualcosa del genere:

iptables -t nat -A PREROUTING -p tcp --dport 49152:65534 -j DNAT --to ip.del.tuo.server

si la config è la stessa, è la combinazione TLS+NAT che crea sempre problemi. In pasv mode c’è una comunicazione su quelle porta a “range alto”, ed in TLS c’è l’encryption della comunicazione ed il router/nat non vede nulla e quidi non riesce a gestire la connessione richiesta per fare il LIST delle directory. Ora, a rigor di logica una volta aperte le porte sul firewall, l’unica cosa che rimane da fare e mappare la connessione con il DNAT.

#14

Ma quindi dovrei “aprire” quelle porte sul router? L’unica cosa che può bloccare la comunicazione è lui, dato che in lan funziona tutto…

#15

edit:
segutame!! :slight_smile:
rispondi alle domande senno’ faccio fatica a seguirti

quindi in lan funziona anche il list? se si non passare quella regola di nat di sopra.

puoi buttare giu’ il firewall del router per prova?
se con il firewall del router giù è tutto ok, il server è ok ed andiamo avanti, al router

#16

Ok, te secutu :slight_smile:
Adesso in lan va tutto bene, mi è bastato aggiungere la prima regoletta che mi ha postato al firewall del server. Ora il problema rimane per le connessioni dall’esterno. Al router dovrei aggiungere il forward delle porte alte all’indirizzo del mio pc?

#17

:slight_smile:

bonu

si la regola è quella, vedi te come applicarla: non so che modello di router tu abbia, ma l’importante è che natti quelle porte su quell ip di destinazione

#18

Fantastico, finalmente funge, almeno così sembra :smiley:
Bona sorta :smiley:
Sinceramente non lo avevo provato prima perché mi sembrava strano che il router bloccasse le porte alte, comunque…
Ti ringrazio tanto per l’aiuto!!!

#19

addruttantu beddrhu :sunglasses: