---

Hej

Jeg har følgende problem: jeg kan godt forbinde til ftp sites men ikke
overføre eller liste filer på serveren. Får følgende fejl:

ftp> ls
200 PORT command successful.
500 Can't build data connection: no PORT specified
ftp> dir
200 PORT command successful.
500 Can't build data connection: no PORT specified

Disabler jeg min linux firewallen er der ingen problemer. Er der en speciel
port man skal åbne i ens firewall får at kunne connecte til remote
ftp'sites.

Please advice..

Mvh. Kasper

---

Den Thu, 29 Mar 2001 09:13:08 skrev "Kasper Baas"
<baas@post1.tele.dk>:

> Jeg har følgende problem: jeg kan godt forbinde til ftp sites men ikke
> overføre eller liste filer på serveren. Får følgende fejl:
>
> ftp> ls
> 200 PORT command successful.
> 500 Can't build data connection: no PORT specified

Prøv at fyre kommandoen 'passive' af ved ftp-prompten,
inden du starter en overførsel.

--
Mvh
Allan

---

>> Jeg har følgende problem: jeg kan godt forbinde til ftp sites men ikke
>> overføre eller liste filer på serveren. Får følgende fejl:
>>
>> ftp> ls
>> 200 PORT command successful.
>> 500 Can't build data connection: no PORT specified

>Prøv at fyre kommandoen 'passive' af ved ftp-prompten,
>inden du starter en overførsel.

det hjalp tak.. men ikke til alle sites. kan det passe at nogle sites ikke
understøtter 'passive'

Mvh. Kasper

---

Den Thu, 29 Mar 2001 10:04:24 skrev "Kasper Baas"
<baas@post1.tele.dk>:

> det hjalp tak.. men ikke til alle sites. kan det passe at nogle sites ikke
> understøtter 'passive'

Det kan sagtens tænkes. Jeg ville dog mene, at de mest gængse FTP-
servere (wuftpd, proftpd mm.) alle understøtter passive overførsler.

---
Mvh
Allan

---

aj@no-svendts-spam.dk (Allan Jensen) wrote:

>Det kan sagtens tænkes. Jeg ville dog mene, at de mest gængse FTP-
>servere (wuftpd, proftpd mm.) alle understøtter passive overførsler.

Jeg har ladet mig fortælle, at passiv ftp på serversiden er noget
flyvsk mht. portnumre. For at gøre firewall-administratorens liv
lettere vælger nogle server-ejere derfor at slå muligheden for passiv
ftp fra.

Et eksempel på maskiner, som ikke kan nås via passiv ftp, er TDC's
homeX.inet.tele.dk, hvor privatkundernes hjemmesider ligger.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Allan Olesen <aolesen@post3.tele.dk> wrote:

> Jeg har ladet mig fortælle, at passiv ftp på serversiden er noget
> flyvsk mht. portnumre. For at gøre firewall-administratorens liv
> lettere vælger nogle server-ejere derfor at slå muligheden for passiv
> ftp fra.

Passiv er rart fra en firewall adminstrators synspunkt, fordi der kun
skal initieres trafik i en retning, mens det er et helvede for server
administratoren, fordi der åbnes for alle porte >1023.

Aktiv FTP kræver kun at der åbnes for port 21 ind til serveren - til gengæld
skal firewall'en acceptere trafik fra port 20 til en høj port, ind mod
klienten.

/jan

---

Den 29 Mar 2001 22:56:10 GMT skrev Jan Chrillesen:
>Allan Olesen <aolesen@post3.tele.dk> wrote:
>
>> Jeg har ladet mig fortælle, at passiv ftp på serversiden er noget
>> flyvsk mht. portnumre. For at gøre firewall-administratorens liv
>> lettere vælger nogle server-ejere derfor at slå muligheden for passiv
>> ftp fra.
>
>Passiv er rart fra en firewall adminstrators synspunkt, fordi der kun
>skal initieres trafik i en retning, mens det er et helvede for server
>administratoren, fordi der åbnes for alle porte >1023.
>
>Aktiv FTP kræver kun at der åbnes for port 21 ind til serveren - til gengæld
>skal firewall'en acceptere trafik fra port 20 til en høj port, ind mod
>klienten.

Til gengæld burde server-administratoren have så meget styr på tingene,
at der ikke er noget at lukke for over 1023 (det er da d.e.s.unix det
her).

Mvh
Kent
--
http://www.celebrityshine.com/~kfr - sidste billede: paris.png
Fedt - ferie helt til 1/5 :-þ

---

Kent Friis <leeloo@mailandnews.com> wrote:

> Til gengæld burde server-administratoren have så meget styr på tingene,
> at der ikke er noget at lukke for over 1023 (det er da d.e.s.unix det
> her).

Det ved jeg nu ikke. Personligt vil jeg gerne flytte så mange services over
port 1023 som muligt, så servicen ikke skal køre som root. Der er en del af
de services (DB, admin interfaces o.s.v.) jeg bestemt ikke ønsker at
eksponere for hele verden. Desuden laver jeg normalt routerfiltre ved at
deny'e alt og explicit tillade præcist de services, der er brug for.
Det er rart at være sikret i hoved og r*v, hvis der ved en fejl bliver
startet en ny/problematisk service.

/jan

---

Den 30 Mar 2001 07:36:21 GMT skrev Jan Chrillesen:
>Kent Friis <leeloo@mailandnews.com> wrote:
>
>> Til gengæld burde server-administratoren have så meget styr på tingene,
>> at der ikke er noget at lukke for over 1023 (det er da d.e.s.unix det
>> her).
>
>Det ved jeg nu ikke. Personligt vil jeg gerne flytte så mange services over
>port 1023 som muligt, så servicen ikke skal køre som root. Der er en del af
>de services (DB, admin interfaces o.s.v.) jeg bestemt ikke ønsker at
>eksponere for hele verden.

Database på en anonym FTP-server? Det virker lidt risikabelt (det
forekommer mig at sunsite.auc.dk's kraftige ftp-server stod af da
RH7.0 blev frigivet...)

Og administration foregår naturligvis kun via. port 22.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr - sidste billede: paris.png
Fedt - ferie helt til 1/5 :-þ

---

Jan Chrillesen <chrille@isa.dknet.dk> wrote:

>Passiv er rart fra en firewall adminstrators synspunkt, fordi der kun
>skal initieres trafik i en retning, mens det er et helvede for server
>administratoren, fordi der åbnes for alle porte >1023.

Vi taler vist forbi hinanden. Du taler vist om
firewall-administratoren i klient-enden? Her er vi enige om, at det er
problematisk at åbne for aktiv ftp.

Men jeg tænkte nu nærmere på den stakkel, der administrerer
sikkerhedsopsætningen i server-enden. Jeg tillader mig i min naivitet
at gå ud fra, at offentlige ftp-servere ofte står bag en form for
firewall?


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

Den Thu, 29 Mar 2001 12:04:24 +0200 skrev Kasper Baas:
>>> Jeg har følgende problem: jeg kan godt forbinde til ftp sites men ikke
>>> overføre eller liste filer på serveren. Får følgende fejl:
>>>
>>> ftp> ls
>>> 200 PORT command successful.
>>> 500 Can't build data connection: no PORT specified
>
>>Prøv at fyre kommandoen 'passive' af ved ftp-prompten,
>>inden du starter en overførsel.
>
>det hjalp tak.. men ikke til alle sites. kan det passe at nogle sites ikke
>understøtter 'passive'

Det er muligt. Men de fleste web-browsere bruger kun passive, så man
vil heller ikke kunne se dem ved at skrive ftp://... i en browser.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr - sidste billede: bay.png

---

On Fri, 30 Mar 2001, Kent Friis wrote:

> Til gengæld burde server-administratoren have så meget styr på tingene,
> at der ikke er noget at lukke for over 1023 (det er da d.e.s.unix det
> her).

Øh, jeg har da f. eks. sat en linux-firewall op. Den beskytter 5
linux-boxe og 170 windows-maskiner, så jeg vil da gerne lukke for en
bunke ting over 1023.

Min pointe er, at det er da firewall'en, der er interessant og ikke
maskinerne bag den?

Rasmus

---

Kasper Baas wrote:
> Jeg har følgende problem: jeg kan godt forbinde til ftp sites men ikke
> overføre eller liste filer på serveren. Får følgende fejl:

Så vidt jeg husker bruger FTP port 20 OG port 21 (begge TCP).
Data returneres via port 20, mens du sikkert sender via port 21.
(Hvorfor FTP bruger to porte ved jeg dog ikke)

Så din fejl skyldes næsten med garenti at du har åbnet for port
21, men lukket for port 20 gennem din firewall.

--
* Kurosawa: Drømme Svensk Tv 1 Fredag 30/3 23:15 *
* Email: Carsten dot Svaneborg at risoe dot dk *
* http://www.fys.risoe.dk/fys/External/casv/ *

---

>>>>> "Carsten" == Carsten Svaneborg <zqex@linuxstart.com> writes:

Carsten> Kasper Baas wrote:
>> Jeg har følgende problem: jeg kan godt forbinde til ftp sites men
>> ikke overføre eller liste filer på serveren. Får følgende fejl:

Carsten> Så vidt jeg husker bruger FTP port 20 OG port 21 (begge
Carsten> TCP). Data returneres via port 20, mens du sikkert sender
Carsten> via port 21. (Hvorfor FTP bruger to porte ved jeg dog
Carsten> ikke)

Carsten> Så din fejl skyldes næsten med garenti at du har åbnet for
Carsten> port 21, men lukket for port 20 gennem din firewall.

http://www.slacksite.com/ftp.html

--
Mvh Claus Albøge

"Don't summarize. Don't abbreviate. Don't interpret."
      -- D. J. Bernstein

---

> Så vidt jeg husker bruger FTP port 20 OG port 21 (begge TCP).
> Data returneres via port 20, mens du sikkert sender via port 21.
> (Hvorfor FTP bruger to porte ved jeg dog ikke)
>
> Så din fejl skyldes næsten med garenti at du har åbnet for port
> 21, men lukket for port 20 gennem din firewall.

jeg har heletiden haft åbent for alle porte tcp/udb 0-65000+, jeg ved ikke
om vi misforstår hinanden men det er ikke min ftp server men nogle der
lægger på Internettet jeg prøver at connecte at connecte til. Det ser ud som
om nogle virker med 'passive' komandoen gennem den firewall jeg har sadt op.
Men det er ikke alle ftp sites der virker med 'passive' om det er min
firewall eller deres ftp konfiguration ved jeg ikke.
Jeg vil bare ikke sådan lukke op for portene 1023>++.

Hvad jeg er meget intereseret i at høre er om andre har haft ligende problem
og hvad de har gjort for at løse det.

Mvh. Kasper

---

> jeg har heletiden haft åbent for alle porte tcp/udb 0-65000+

fra LAN > Internet. Altså for clienterne.

alt fra Internet > LAN er der REJECT på.