主題: [問題] Nat 底下的 ProFTP, 可以登入, 看不到目錄

[mega]

之前已經參考過這篇
http://phorum.study-area.org/viewtopic.php?t=8271
還有鳥哥的教學, 依然百思不得其解
只好斗膽向各位學長提出問題

架設環境描述 :
<Server> : RedHat Linux 9.0
<FTP> : ProFTP-1.2.9

我的 FTP 放在 ip 分享器後面, 使用 private ip, 我設定成使用 passive mode 連接
共使用到 5 個 ports, proftpd.conf 的設定如下

代碼: [選擇]

PassivePorts   20001   20005

我把 port 21 和上面 5 個 ports 都直接對應到 ip 分享器的外部
就是開啟虛擬伺服器那個功能
當然防火牆的部分也給它通過

請朋友幫忙測試, 都是只有登入 ok, 出現歡迎訊息
但是無法取得目錄列表

我自己在同一區網中測試一切 ok
我猜這樣應該是 NAT 擋到了連線用的 port

只是不知道除了 command port 21, 傳資料用的 passive port
還需要開放或對應哪些 port  :oops:

[netman]

若你的 server 在 NAT 內, 而你的 client 沒有在 nat 內, 那就不要用 passive 了.

要不然, 你用 iptables 來做 nat, 然後載入如下兩個 modules:
ip_conntrack_ftp
ip_nat_ftp

[洋蔥叔叔]

測試的client確定用passive嗎？log裡寫什麼？

[mega]

謝謝學長們的回覆, 我已經成功了  <(_ _)>

我先關閉 passive ports 的功能
然後將預設的 21, 20 埠對外開放
居然.... 這樣就可以了

不過, 如果 client 端有裝 XP 內建的防火牆, 就會無法連線
無法建立連線時, 用 netstat 指令下去查網路狀態, 問題出在這一條連線

代碼: [選擇]

192.168.1.5: 47726       192.168.1.2: auth        SYN_SENT

XP 的 firewall 會擋住 113 這個埠, 造成一開始建立連線時失敗
對於這個埠的功能還不是很清楚, 用大神去查了一下
大概知道這是作確認 client 身分用的

不知道有沒有好一點的說明文件可以解釋一下 113 port
英文網頁也沒關係, 大神找出來的東西多到讓我眼花撩亂....  @@

[moocow]

我在NAT後面也架了個小ftp，遇到了一個不解的問題。
(所謂的NAT其實是Microsoft 的wireless webstation，提供簡易的NAT功能)

(以下是以PORT MODE連線，以server的觀點出發，client有實體ip)
我把ftp開在port 21的時候，運作上都沒問題，可以LIST, WRITE都OK
但是一把port開到5XXX or 其他(>1024)的時候，就會不能用ls(ftp-data建立不起來)
可是這不太合理，因為port 20是"連到(connect to)"client所以應該不至於被firewall檔下來，而且把port 設成 21的時候可以運作。我實在不了解為什麼換了個listen port，ftp-port會有影響。

簡單說：(under PORT MODE)ftp server port設在21時可以完全運作，設在其他port的時候(e.g 5365)可以login，ftp-data建立不起來(沒有辦法做LIST)

我用ethereal capture了一下port不是21的情況，發現問題發生在server以port 20要跟client connect的時候handshake沒有辦法完成；(server先傳個SYN)client傳回的flag為RST,ACK。

我在想用port 21跟用port 5XXX會造成ftp-data建立上的差別嗎？ firewall有這麼聰明port 21的時候ftp-data就給用，其他就不行嗎？用什麼port listen跟用什麼port 來做ftp-data試兩個分開的事吧！

可以幫我解答這個疑惑嗎？ 謝謝

[洋蔥叔叔]

要看Implementation
因為NAT基本上只會在Port21來track ftp連線
我想你應該了解，在用active mode建立ftp-data時是由伺服器發起連線給client
所以NAT Router必須要看的到ftp連線裡的PORT指令，才能判斷client會用的是哪個port, 並forward。
所以造成兩個問題，一就是你所遇到的，在非standard port上的ftp連線一般NAT Router不把它當成是ftp連線，所以不會去track(ie 看PORT)
Linux下的iptables可以在modprobe ip_conntrack_ftp/ip_nat_ftp時給ports參數，或是直接改原始碼(嘿，Open source的好處)。不過當然你無法掌控FTP Server的Port的話就有點困難。

第二個問題是如果你ftp session是加密(SSL, TLS etc)的話那也無法Track, 因為Router看不到PORT指令。

有沒有解決方案？有，用Passive mode，現在應該很少FTP不支援Passive。

以上小弟見解

[moocow]

要看Implementation
因為NAT基本上只會在Port21來track ftp連線
我想你應該了解，在用active mode建立ftp-data時是由伺服器發起連線給client
所以NAT Router必須要看的到ftp連線裡的PORT指令，才能判斷client會用的是哪個port, 並forward。
所以造成兩個問題，一就是你所遇到的，在非standard port上的ftp連線一般NAT Router不把它當成是ftp連線，所以不會去track(ie 看PORT)

不知道事不事自己看不懂，但是上面看起來似乎是在說 client在NAT裡面的情形。但是我遇到的是server在NAT裡面，所以當server要連到client(client在listen, active mode)的時候(dftp-data建立時)，server端的NAT應該不至於把packet檔下來，畢竟這可以想成是一個普通的對外連線。

若是您原本描述的是上述的情況，可以提供一個參考的solution嗎？ 謝謝

我現在在懷疑會不會client其實是在一個NAT後面，而我不知道。

[洋蔥叔叔]

那大概是client端有NAT或防火牆，不見得完全是你的問題。
solution的話ftp daemon用一些特定的port來做Passive，然後在NAT Router裡把那些port做port forwarding.

[netman]

若是 SERVER side NAT 的話, 用 passive 反而不行. 因為 NAT 會視之為 NEW connetction.
這時, 得靠 ip_conntrack_ftp module 來輔助判別是否為 RELATED connection,
再透過 ip_nat_ftp module 來建立 nat 連線.

如 demonbane 兄所言, ip_conntrack_ftp 與 ip_nat_ftp 預設只會檢視 port 21 的封包.
若是用非標準的 port 的話, 那就需要在載如 moudles 指定參數了...

這部份我沒實作過, 或許請樓上幫大家測測看, 然後回來分享所得?

[洋蔥叔叔]

netman大哥：
我的意思是說Server可以控制只用幾個特定的port來做Passive
然後在Server端的NAT上那幾個port做port forwarding(當然Server端也不能檔那幾個port)
所以說，server端的NAT有沒有ip_conntrack_ftp跟ip_nat_ftp都沒有差，因為data channel的port自己指定。

hmm 還是我哪裡想法錯誤？

[netman]

可以...
若 destination port 是故定的, 那是可行的.
可先試試看?

[moocow]

如 demonbane 兄所言, ip_conntrack_ftp 與 ip_nat_ftp 預設只會檢視 port 21 的封包.
若是用非標準的 port 的話, 那就需要在載如 moudles 指定參數了...

ip_conntrack_ftp,ip_nat_ftp不是用在解決client under passive mode的狀況嗎？
假如我的認知是正確的話:
client在NAT後面的話，因為server送出的SYN packet會被檔下來，導致無法完成tcp handshaking。
所以ip_conntrack_ftp會檢視command port裡面的PORT指令，做適當的DNAT，wait for the connection from server side.

假如是這樣的話，ip_conntrack_ftp好像是在解決client side的NAT問題。...?

希望我沒有弄錯，假如有錯的話，請務必指正我，謝謝

我的意思是說Server可以控制只用幾個特定的port來做Passive
然後在Server端的NAT上那幾個port做port forwarding(當然Server端也不能檔那幾個port)
所以說，server端的NAT有沒有ip_conntrack_ftp跟ip_nat_ftp都沒有差，因為data channel的port自己指定。

我也試過上述的辦法，port forwarding一切都很順利，唯一的障礙就是ftp server在傳回PASV指令時(ip, port)，內容是以自己local的ip address為destination(e.g. 192.168.1.5)，所以在區網外的client怎樣也rout不到server。

我在想這應該可以由server的configuration解決，不過我還是想先搞清楚為什麼active mode沒有辦法建立ftp-data connection。

謝謝

[netman]

default 是 21 port .
那是 module 會看且"只"會看的....

要是, 若用的不是 21 port 呢?
那你就要在載入 modules 下參數了.

[moocow]

default 是 21 port .
那是 module 會看且"只"會看的....

要是, 若用的不是 21 port 呢?
那你就要在載入 modules 下參數了.

><"我有點混亂，感覺是在討論不同的事情

上面的不是在描述client端 NAT的情形嗎？可是...我是在server端的NAT碰到問題
我想從server端解決這個問題，因為我不能永遠要求所有的ftp client都特別修改module參數來連到我吧

active mode下面，建立數據通道通道時，client是listening on random port，跟21沒有關係。上面有關module的事...是解決client端前面有firewall的情況！

若是學長們沒看錯我提的問題的話，我覺得我對ftp的連線流程有盲點...

更簡短我的問題好了：
有什麼可能在active mode下面，server端在建立數據通道的時候會fail？

(假設client端沒有firewall，...雖然我開始強烈懷疑我測試用的client有可能在firewall後面）

可不可以幫我看看這個敘述正不正確：
假如ftp server不用standard port的話，很明顯的，只要是在NAT後面的client都不能建立數據通道。

真的很謝謝

[netman]

是的, 我講的也是 server side 的 NAT....  ^_^
不過, 前面不是提到過"我在想用port 21跟用port 5XXX會造成ftp-data建立上的差別嗎？"

我只是針對這部份來講, 其他我就沒在意了...

或是, 先看看:
http://www.study-area.org/linux/servers/linux_nat.htm#modules

[moocow]

更新一則，

剛剛試了一下passive mode，可以用
port forwarding就跟Demonbane兄說的一樣，

Server可以控制只用幾個特定的port來做Passive
然後在Server端的NAT上那幾個port做port forwarding(當然Server端也不能檔那幾個port)

跟以前不一樣的是，我在cofiguration裡面指明了NAT的ip address，所以ftp server在傳回PASV指令時，會是正確的ip address，而非區域網路裡面的ip address了。

現在passive mode可以正常運作


active mode...還請幫忙了。

我自己想的答案：  client是在firewall後面

一個小抱怨關於passive mode所需指定NAT ip：假如NAT ip是浮動式的話，那豈不是要常常edit設定檔，然後restart server了嗎？

謝謝

[netman]

一個小抱怨關於passive mode所需指定NAT ip：假如NAT ip是浮動式的話，那豈不是要常常edit設定檔，然後restart server了嗎？

你說的指定 ip 是說 iptables 的設定嗎?
若然, 乾脆將 -d x.x.x.x 砍掉不用就好了啊.
因為從 routing 來說, 能從 external 進來的 inbound, 已經是這個 destination 了...

至於 passive mode, 在 server side NAT 只要有 SNAT 設好就行, 無須 modules .
但這時則轉到 client side NAT 要加載 modules 或 extra rules 了...

[moocow]

是的, 我講的也是 server side 的 NAT....  ^_^
不過, 前面不是提到過"我在想用port 21跟用port 5XXX會造成ftp-data建立上的差別嗎？"

我只是針對這部份來講, 其他我就沒在意了...

或是, 先看看:
http://www.study-area.org/linux/servers/linux_nat.htm#modules

原來如此～
但是server side的NAT有什麼理由要監視21 port呢？
只有在passive mode下才需要吧。active mode...我看不到需要的理由。
(這長串的疑問是針對active mode提出的@@")

不過是針對"用port 21跟用port 5XXX會造成ftp-data建立上的差別"的話，我可以了解。因為ip_conntrack_ftp 與 ip_nat_ftp 預設只會檢視 port 21 的封包，所以當port非21時，NAT就不知道需要做那些SNAT了(passive mode)。

該篇文章我已細讀好些次了，希望有正確了解

多謝指教

[netman]

active 與 passive 差在 PORT command 是從 server->client 還是從 client->server .
但都是用 command channel 來送 PORT command 的.
而 command channel 預設用 21 .

請參考:
http://www.study-area.org/linux/servers/linux_nat.htm#ftp

[moocow]

active 與 passive 差在 PORT command 是從 server->client 還是從 client->server .
但都是用 command channel 來送 PORT command 的.
而 command channel 預設用 21 .

請參考:
http://www.study-area.org/linux/servers/linux_nat.htm#ftp

這個我想我在這一兩天的研究下，已經有清楚的了解

不懂的是學長說server side的NAT要監視port 21的理由
因為active mode下，server side 的NAT並不需要了解PORT command裡面包含的IP address & port，所以不用監視port 21。

我想學長指的是passive mode吧


我必須要強迫自己發問了，我會問不完@@"

我大概有一個輪廓了。不好意思，問題那麼多。
謝謝指教，我又多學了一點

[netman]

passive 也好 active 也罷...
關鍵是 NAT 如何得知 connection 的存在?

我上面給的 link, 罰你看三遍!

[netman]

看完了嗎? 看完了我再跟你講...
(搞不好你已懂了, 我也就不用講了...)

[moocow]

passive 也好 active 也罷...
關鍵是 NAT 如何得知 connection 的存在?

唔～
學長指的是應該最一開始建立連線的時候嗎
這裡，server side的NAT需要做port forwarding在port 21

link這次看完真的有三遍了

若這不是原因的話，請公佈答案吧
謝謝

update:
active mode下面的問題...結論是測試的client有防火牆XD，所以non-standard port不會work。
後來換一台測就ok了。

[netman]

哈... 是的, 我相信你已有答案了.

不知其他讀者是否能夠理解?
為了方便, 我這裡簡單歸納一下好了:

在 active mode 下:
client NAT 需設 DNAT(或 modules) 而 server NAT 不需要.
這是因為 ftp-data connection 是從 server 到 client 端的.
server NAT 會有 outgoing 的 NAT masquerading record, 因此回來的封包只需作 De-Masquerading 就好了.
但 client 端會將之視為 NEW connection , 若沒有 DNAT 設定或 modules 幫忙, 則封包不會抵達 client 端.
假如用 DNAT 規則的話, 則需"事先"要配置好, 這不方便, 也容易產生安全上的漏洞.
若換成 modules(conntrack & nat), 則可"動態"的建立連線.
但問題是: module 如何得知要怎麼建呢?
原理是要讀取 ftp command-channel 的 PORT 命令就行...
若 ftp command-channel 用標準的 21 , 那 modules 只要監看 port 21 的封包就抓得到了.
但問題是, 如果 command-channel 不是標準的 21 呢?
那也簡單, 在載入 modules 時指定不就行了?!

好了, 換成 passive mode 又如何?
server NAT 需設 DNAT(或 modules) 而 client NAT 不需要.
這是因為 ftp-data connection 是從 client 到 server 端的.
client NAT 會有 outgoing 的 NAT masquerading record, 因此回來的封包只需作 De-Masquerading 就好了.
但 server 端會將之視為 NEW connection , 若沒有 DNAT 設定或 modules 幫忙, 則封包不會抵達 server 端.
(剩下的, 還要我說嗎?....  ^_^ )

[moocow]

看完觀念更完整了，加強了一些不確定的地方
thanks again



一個小疑問關於client NAT用modules(conntrack & nat)建立ftp-data connection

active mode下，
ftp command-channel若不是用標準port
對在NAT裡面的client實在很不方便！
為了要能抓到PORT command，client必須要先要求NAT admin修改module的參數
網管不可能整天改這些參數，client要用個ftp更是沒有效率

想法：
用non-standrad port的ftp server最好能提供passive mode
這樣對在NAT後面的client比較便利


我想要用non-standrad port只有一個理由，為了避免不必要的試探
(這樣應該有幫助吧！)

[netman]

passive mode 是由 client 端決定的, 而不是說"ftp server最好能提供passive mo".

只需在 ftp command 裡打 passive 或 passv 就行.
很多 ftp client 甚至預設上就如此.

[moocow]

我沒說清楚:p
"提供passive mode"指的是在NAT後面的server要configure好
不然passive mode會不正常運作
設定像是上面說NAT的port forwarding, 還有server ip address的指定。

在vsftpd我要先設好pasv_address才能正常運作
另外passive mode也是可以被disable的
所以有時client要用passive mode是要看ftp server～

我想應該是這樣吧！

[netman]

若 server 端要設 passive address 的話,
那就沒發揮前述 modules 的供能了啊...
modules 之所以有用, 就是不必設 client 或 server 了.

[moocow]

所以module會修改server送出的PASV的回應囉！
(把local ip address改成NAT的ip address
e.g. PASV 192.168.1.5,14,5 -> PASV 61.71.81.91,14,5)

對module有大致的概念，但實作上還沒機會，不是很了解怎麼運作
(我是在一個MS的wireless webstation後面)

不過我了解學長指的"不用設定passive mode"了，謝謝^^

[netman]

不只修改, 還有"建立".

1) 若你能"事先"設好 NAT 規則, 那就不需用 module.
2) 否則, 請找 module 幫忙.