---

Hej

Jeg har en ADSL med en Cisco 677 stående. Bag denne router kører en Linux
maskine med proftpd. Problemet er blot at passiv ftp ikke virker:

ftp> open ftp
Connected to ftp (XXX.XXX.XXX.XXX).
220 ProFTPD 1.2.5rc1 Server (Debian) [ftp]
Name (ftp:moffe): test
331 Password required for test.
Password:
230 User test logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> passive
Passive mode off.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
drwx--S--- 2 1030 users 4096 May 13 11:42 mail
226-Transfer complete.
226 Quotas off
ftp> passive
Passive mode on.
ftp> ls
227 Entering Passive Mode (0,0,0,0,0,0)

Jeg kan se med pakkedump, at det på ftp-serveren ser korrekt ud:

freke:/home/moffe# /tmp/ethereal-0.9.3/tethereal -i eth1 port 21
Capturing on eth1
0.000000 grignard.amagerkollegiet.dk -> freke.msconsult.dk FTP Request:
PORT 194,182,238,30,130,254
<SNIP>
0.001325 freke.msconsult.dk -> grignard.amagerkollegiet.dk FTP Response:
200 PORT command successful.
<SNIP>
8.481932 grignard.amagerkollegiet.dk -> freke.msconsult.dk FTP Request:
PASV
<SNIP>
8.483439 freke.msconsult.dk -> grignard.amagerkollegiet.dk FTP Response:
227 Entering Passive Mode (10,0,0,10,4,69).
<SNIP>

Men Cisco'en NAT'er altså til 0.0.0.0:0???

Samtlige porte er forwardet på ciscoen, da jeg så kun skal holde styr på NAT
et sted (Linux-boxen). "show nat" giver:

Local IP : Port Global IP : Port Timer Flags Proto
Interface
10.0.0.10:***** *****:***** 120 0x03041 *** eth0

plus naturligvis noget etablerede forbindelser, der inkluderer
kontrolforbindelsen men ikke dataforbindelsen...

Hvad gør jeg? Ciscoen kører CBOS 2.4.1 - kan en firmware-opdatering afhjælpe
problemet?

PFT
/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
God, root, what is difference?
God is more forgiving.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Hejsa

Et hurtigt gæt (ud fra erfaring) vil være at det er et NAT/PAT problem og
ikke nødvendigtvis i din ende.

Prøv fx med en dialup direkte til internettet og se om det virker her.

HTH
Mvh
Martin Bilgrav

---

Martin Bilgrav wrote:

> Et hurtigt gæt (ud fra erfaring) vil være at det er et NAT/PAT problem og
> ikke nødvendigtvis i din ende.

Bortset fra ISP'ernes udstyr, er jeg bekendt med al udstyr mellem
maskinerne, og i to tilfælde benyttes hverken NAT eller PAT. I begge
tilfælde har jeg problemet med 'PASV 0,0,0,0,0,0. I et tredje tilfælde
benyttes ganske vist både NAT og PAT, men det foregår gennem en
Linux-firewall, der fint kan håndtere passiv FTP. Passiv ftp fungerer her
til andre ftp-servere på nettet - bare ikke denne.

> Prøv fx med en dialup direkte til internettet og se om det virker her.

Det er netop fra en dial-up maskine problemet blev opdaget. Problemet
eksisterer både på NAT/PAT'ede maskiner, på firewallede maskiner og
ikke-firewallede, ikke-NAT/PAT'ede maskiner. Jeg kan ikke se, at det på
nogen måde kan være andet end Cisco-routeren. Når jeg afleverer trafikken
til routeren er kommandoen "PASV 10,0,0,8,7,40" - når jeg modtager den i
klient-enden hedder den "PASV 0,0,0,0,0,0" - og det er inden nogen som
helst form for NAT/PAT bliver håndteret (tcpdump direkte på netkortet).

Kan det skyldes, at samtlige porte er forwardet fra routeren til den interne
IP?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
There are three kinds of lies:
lies, politics and statistics.
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

>
> Kan det skyldes, at samtlige porte er forwardet fra routeren til den
interne
> IP?

hmm - ok...
Kan du evt mail en config dump af din router konfig ? Eller poste den her
Det kan være at FTP bliver forwardet til en anden IP en den du har, så
svaret tilbage ryger forkert.
(Just a guess)

Mvh
Martin

---

Martin Bilgrav wrote:

>>
>> Kan det skyldes, at samtlige porte er forwardet fra routeren til den
> interne
>> IP?
>
> hmm - ok...
> Kan du evt mail en config dump af din router konfig ? Eller poste den her
> Det kan være at FTP bliver forwardet til en anden IP en den du har, så
> svaret tilbage ryger forkert.
> (Just a guess)

Ja - men som sagt er den kun PASV-kommandoen, der giver problemet... Men
config er herunder.

Er der noget fornuftigt at se?

(nu jeg alligevel har postet den: Hvad bruges den 10.0.0.1:23 *:23023 til -
er det til telnet-administration på port 23023 udefra? Den kom med den
prækonfigureret.)

/Rasmus

cbos#show config
Warning: traffic may pause while NVRAM is being accessed
[[ PPP Device Driver = Section Start ]]
PPP Port Option = 00, IPCP,IP Address,3,Auto,Negotiation Not
Required,Negotiable
,IP,0.0.0.0
PPP Port User Name = 00, XXX
PPP Port User Password = 00, ****
[[ ATM WAN Device Driver = Section Start ]]
ATM WAN Virtual Connection Parms = 00, 0, 35, 0
[[ CBOS = Section Start ]]
NSOS Root Password = XXX
NSOS Enable Password = XXX
[[ DHCP = Section Start ]]
DHCP Server Pool DNS = 00, 212.242.40.3
DHCP Server Pool Secondary DNS = 00, 212.242.40.51
[[ IP Routing = Section Start ]]
IP NAT = enabled
IP Filter Configuration = 15, on, deny, incoming, wan0-0, 0.0.0.0, 0.0.0.0,
0.0.
0.0, 0.0.0.0, 6, 1, 65525, 27374, 27374; 14, on, deny, incoming, wan0-0,
0.0.0.0
, 0.0.0.0, 0.0.0.0, 0.0.0.0, 6, 1, 65525, 20034, 20034; 13, on, deny,
incoming,
wan0-0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 6, 1, 65525, 1243, 1245; 12, on,
den
y, incoming, wan0-0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 6, 1, 65525, 31137,
311
39; 11, on, deny, incoming, wan0-0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 6,
1, 65
525, 12345, 12346; 10, on, deny, incoming, wan0-0, 0.0.0.0, 0.0.0.0,
0.0.0.0, 0.
0.0.0, 6, 1, 65525, 2049, 2049; 9, on, deny, incoming, wan0-0, 0.0.0.0,
0.0.0.0,
0.0.0.0, 0.0.0.0, 6, 1, 65525, 445, 445; 8, on, deny, incoming, wan0-0,
0.0.0.0
, 0.0.0.0, 0.0.0.0, 0.0.0.0, 6, 1, 65525, 137, 139; 7, on, deny, outgoing,
wan0-
0, 127.0.0.0, 255.0.0.0, 0.0.0.0, 0.0.0.0, 0, 0, 0, 0, 0; 6, on, deny,
outgoing,
wan0-0, 192.168.0.0, 255.255.0.0, 0.0.0.0, 0.0.0.0, 0, 0, 0, 0, 0; 5, on,
deny,
outgoing, wan0-0, 172.16.0.0, 255.240.0.0, 0.0.0.0, 0.0.0.0, 0, 0, 0, 0, 0;
4,
on, deny, outgoing, wan0-0, 10.0.0.0, 255.0.0.0, 0.0.0.0, 0.0.0.0, 0, 0, 0,
0, 0
; 3, on, deny, incoming, wan0-0, 127.0.0.0, 255.0.0.0, 0.0.0.0, 0.0.0.0, 0,
0, 0
, 0, 0; 2, on, deny, incoming, wan0-0, 192.168.0.0, 255.255.0.0, 0.0.0.0,
0.0.0.
0, 0, 0, 0, 0, 0; 1, on, deny, incoming, wan0-0, 172.16.0.0, 255.240.0.0,
0.0.0.
0, 0.0.0.0, 0, 0, 0, 0, 0; 0, on, deny, incoming, wan0-0, 10.0.0.0,
255.0.0.0, 0
..0.0.0, 0.0.0.0, 0, 0, 0, 0, 0; 18, on, allow, outgoing, all, 0.0.0.0,
0.0.0.0,
0.0.0.0, 0.0.0.0, 0, 0, 0, 0, 0; 19, on, allow, incoming, all, 0.0.0.0,
0.0.0.0,
0.0.0.0, 0.0.0.0, 0, 0, 0, 0, 0;
IP NAT Entry = 10.0.0.10, *, *, *, *;10.0.0.1, 23, 0.0.0.0, 23023, tcp;
IP NAT Timeout UDP = 3600
IP NAT Timeout ICMP = 3600
[[ WEB = Section Start ]]
#
cbos#
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Is it safe?
Yes, it is perfectly safe - it is us, that are in trouble!
- Hitch Hikers Guide to the Galaxy, Douglas Adams
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

du har jo ingen NAT Entry til FTP !

MVh
Martin
"Rasmus Bøg Hansen" <moffe47@hotmail.com> wrote in message
news:ad25b4$m36$1@carlsberg.amagerkollegiet.dk...
> Martin Bilgrav wrote:
>
> >>
> >> Kan det skyldes, at samtlige porte er forwardet fra routeren til den
> > interne
> >> IP?
> >
> > hmm - ok...
> > Kan du evt mail en config dump af din router konfig ? Eller poste den
her
> > Det kan være at FTP bliver forwardet til en anden IP en den du har, så
> > svaret tilbage ryger forkert.
> > (Just a guess)
>
> Ja - men som sagt er den kun PASV-kommandoen, der giver problemet... Men
> config er herunder.
>
> Er der noget fornuftigt at se?
>
> (nu jeg alligevel har postet den: Hvad bruges den 10.0.0.1:23 *:23023
til -
> er det til telnet-administration på port 23023 udefra? Den kom med den
> prækonfigureret.)
>
> /Rasmus
>
> cbos#show config
> Warning: traffic may pause while NVRAM is being accessed
> [[ PPP Device Driver = Section Start ]]
> PPP Port Option = 00, IPCP,IP Address,3,Auto,Negotiation Not
> Required,Negotiable
> ,IP,0.0.0.0
> PPP Port User Name = 00, XXX
> PPP Port User Password = 00, ****
> [[ ATM WAN Device Driver = Section Start ]]
> ATM WAN Virtual Connection Parms = 00, 0, 35, 0
> [[ CBOS = Section Start ]]
> NSOS Root Password = XXX
> NSOS Enable Password = XXX
> [[ DHCP = Section Start ]]
> DHCP Server Pool DNS = 00, 212.242.40.3
> DHCP Server Pool Secondary DNS = 00, 212.242.40.51
> [[ IP Routing = Section Start ]]
> IP NAT = enabled
> IP Filter Configuration = 15, on, deny, incoming, wan0-0, 0.0.0.0,
0.0.0.0,
> 0.0.
> 0.0, 0.0.0.0, 6, 1, 65525, 27374, 27374; 14, on, deny, incoming, wan0-0,
> 0.0.0.0
> , 0.0.0.0, 0.0.0.0, 0.0.0.0, 6, 1, 65525, 20034, 20034; 13, on, deny,
> incoming,
> wan0-0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 6, 1, 65525, 1243, 1245; 12,
on,
> den
> y, incoming, wan0-0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 6, 1, 65525,
31137,
> 311
> 39; 11, on, deny, incoming, wan0-0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 0.0.0.0, 6,

> 1, 65
> 525, 12345, 12346; 10, on, deny, incoming, wan0-0, 0.0.0.0, 0.0.0.0,
> 0.0.0.0, 0.
> 0.0.0, 6, 1, 65525, 2049, 2049; 9, on, deny, incoming, wan0-0, 0.0.0.0,
> 0.0.0.0,
> 0.0.0.0, 0.0.0.0, 6, 1, 65525, 445, 445; 8, on, deny, incoming, wan0-0,
> 0.0.0.0
> , 0.0.0.0, 0.0.0.0, 0.0.0.0, 6, 1, 65525, 137, 139; 7, on, deny, outgoing,
> wan0-
> 0, 127.0.0.0, 255.0.0.0, 0.0.0.0, 0.0.0.0, 0, 0, 0, 0, 0; 6, on, deny,
> outgoing,
> wan0-0, 192.168.0.0, 255.255.0.0, 0.0.0.0, 0.0.0.0, 0, 0, 0, 0, 0; 5, on,
> deny,
> outgoing, wan0-0, 172.16.0.0, 255.240.0.0, 0.0.0.0, 0.0.0.0, 0, 0, 0, 0,
0;
> 4,
> on, deny, outgoing, wan0-0, 10.0.0.0, 255.0.0.0, 0.0.0.0, 0.0.0.0, 0, 0,
0,
> 0, 0
> ; 3, on, deny, incoming, wan0-0, 127.0.0.0, 255.0.0.0, 0.0.0.0, 0.0.0.0,
0,
> 0, 0
> , 0, 0; 2, on, deny, incoming, wan0-0, 192.168.0.0, 255.255.0.0, 0.0.0.0,
> 0.0.0.
> 0, 0, 0, 0, 0, 0; 1, on, deny, incoming, wan0-0, 172.16.0.0, 255.240.0.0,
> 0.0.0.
> 0, 0.0.0.0, 0, 0, 0, 0, 0; 0, on, deny, incoming, wan0-0, 10.0.0.0,
> 255.0.0.0, 0
> .0.0.0, 0.0.0.0, 0, 0, 0, 0, 0; 18, on, allow, outgoing, all, 0.0.0.0,
> 0.0.0.0,
> 0.0.0.0, 0.0.0.0, 0, 0, 0, 0, 0; 19, on, allow, incoming, all, 0.0.0.0,
> 0.0.0.0,
> 0.0.0.0, 0.0.0.0, 0, 0, 0, 0, 0;
> IP NAT Entry = 10.0.0.10, *, *, *, *;10.0.0.1, 23, 0.0.0.0, 23023, tcp;
> IP NAT Timeout UDP = 3600
> IP NAT Timeout ICMP = 3600
> [[ WEB = Section Start ]]
> #
> cbos#
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> Is it safe?
> Yes, it is perfectly safe - it is us, that are in trouble!
> - Hitch Hikers Guide to the Galaxy, Douglas Adams
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Martin Bilgrav wrote:

> du har jo ingen NAT Entry til FTP !

Jo. Dog ikke en specifik for ftp - jeg forwarder *al* trafik til 10.0.0.10:

>> IP NAT Entry = 10.0.0.10, *, *, *, *

Som sagt kan jeg godt *forbinde* til den interne IP med FTP udefra. Jeg kan
også lave aktiv FTP. Jeg ikke lave passiv FTP, men de to andre ting
fungerer fint. Havde jeg ingen NAT-entry, ville jeg jo ikke engang kunne
have forbundet til FTP-serveren.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
When you have multiple CPUs with one interrupt controller, you don't
have much choice. You either use spin-locks or you Blue-Screen.
Since Linux doesn't have a "Blue-screen of death", it needs spin-
locks.
-- Richard B. Johnson
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

On Wed, 29 May 2002 19:16:30 +0200, Rasmus Bøg Hansen
<moffe47@hotmail.com> wrote:

>Jeg ikke lave passiv FTP, men de to andre ting
>fungerer fint. Havde jeg ingen NAT-entry, ville jeg jo ikke engang kunne
>have forbundet til FTP-serveren.
Kan du lave passiv FTP fra en intern maskine (uden om routeren)?
--
Per K. Nielsen

---

Per K. Nielsen wrote:

> On Wed, 29 May 2002 19:16:30 +0200, Rasmus Bøg Hansen
> <moffe47@hotmail.com> wrote:
>
>>Jeg ikke lave passiv FTP, men de to andre ting
>>fungerer fint. Havde jeg ingen NAT-entry, ville jeg jo ikke engang kunne
>>have forbundet til FTP-serveren.
> Kan du lave passiv FTP fra en intern maskine (uden om routeren)?

Yup, ingen problemer.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
\ / ASCII ribbon campaign
X against HTML mail
/ \
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

> > du har jo ingen NAT Entry til FTP !
>
> Jo. Dog ikke en specifik for ftp - jeg forwarder *al* trafik til
10.0.0.10:

ok, jeg kunne bare ikke se udfra din router cfg, hvilken IP din FTP maskine
har...

Jeg har tidligere oplevet underlige ting, i CBOS, når man bruger 0.0.0.0
iastedet for WAN IP adressen.
Prøv at ændre din cfg til at bruge WAN IP explicit istedet for 0.0.0.0

Mvh
MArtin

---

Martin Bilgrav wrote:

>
>> > du har jo ingen NAT Entry til FTP !
>>
>> Jo. Dog ikke en specifik for ftp - jeg forwarder *al* trafik til
> 10.0.0.10:
>
> ok, jeg kunne bare ikke se udfra din router cfg, hvilken IP din FTP
> maskine har...
>
> Jeg har tidligere oplevet underlige ting, i CBOS, når man bruger 0.0.0.0
> iastedet for WAN IP adressen.
> Prøv at ændre din cfg til at bruge WAN IP explicit istedet for 0.0.0.0

Ok, det vil jeg prøve.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
\ / ASCII ribbon campaign
X against HTML mail
/ \
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Martin Bilgrav wrote:

>
>> > du har jo ingen NAT Entry til FTP !
>>
>> Jo. Dog ikke en specifik for ftp - jeg forwarder *al* trafik til
> 10.0.0.10:
>
> ok, jeg kunne bare ikke se udfra din router cfg, hvilken IP din FTP
> maskine har...
>
> Jeg har tidligere oplevet underlige ting, i CBOS, når man bruger 0.0.0.0
> iastedet for WAN IP adressen.
> Prøv at ændre din cfg til at bruge WAN IP explicit istedet for 0.0.0.0

Hvordan gør jeg det - jeg brugte i sin tid "set nat entry add 10.0.0.10"?

set nat entry add 10.0.0.10 <WAN-IP>

virker ikke. Når jeg laver en specifik indgang for ftp virker det stadig
ikke:

set nat entry add 10.0.0.10 21 <WAN-IP> 21 tcp

Men kan man være sikker på at den tager den mest specifikke indgang?

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
\ / ASCII ribbon campaign
X against HTML mail
/ \
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus =?ISO-8859-15?Q?B=F8g?= Hansen <moffe47@hotmail.com> wrote in
news:ad25b4$m36$1@carlsberg.amagerkollegiet.dk:

> (nu jeg alligevel har postet den: Hvad bruges den 10.0.0.1:23 *:23023
> til - er det til telnet-administration p† port 23023 udefra? Den kom
> med den pr‘konfigureret.)

Yes.

--
Mvh. Simon Pedersen

---

Rasmus Bøg Hansen wrote:

> Jeg har en ADSL med en Cisco 677 stående. Bag denne router kører en Linux
> maskine med proftpd. Problemet er blot at passiv ftp ikke virker:

En firmwareopdatering til CBOS 2.4.3 klarede problemet...

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
He who asks a question is a fool for five minutes; he who does not ask a
question remains a fool forever.
----------------------------------[ moffe at amagerkollegiet dot dk ] --