Forum Debian Users Gang

A skompilowałeś to jako moduł czy wkompilowałeś na stałe w jajko.
Te moduły to raczej nazywają się nf_conntrack_*

arecki napisał(-a):

A skompilowałeś to jako moduł czy wkompilowałeś na stałe w jajko.
Te moduły to raczej nazywają się nf_conntrack_*

Ehh. oczywiscie masz racje.

Jacekalex napisał(-a):

Jeżeli budowałeś jajo ze źródeł, to napisz przynajmniej, które jajo - numerek, jakie łatki i jaki Linux.

U mnie conntrack wygląda tak:

Kod:

zgrep -i conntrack /proc/config.gz
CONFIG_NF_CONNTRACK=y
CONFIG_NF_CONNTRACK_MARK=y
CONFIG_NF_CONNTRACK_SECMARK=y
CONFIG_NF_CONNTRACK_ZONES=y
CONFIG_NF_CONNTRACK_PROCFS=y
CONFIG_NF_CONNTRACK_EVENTS=y
CONFIG_NF_CONNTRACK_TIMEOUT=y
CONFIG_NF_CONNTRACK_TIMESTAMP=y
CONFIG_NF_CONNTRACK_LABELS=y
CONFIG_NF_CONNTRACK_AMANDA=y
CONFIG_NF_CONNTRACK_FTP=y
CONFIG_NF_CONNTRACK_H323=y
CONFIG_NF_CONNTRACK_IRC=y
CONFIG_NF_CONNTRACK_BROADCAST=y
CONFIG_NF_CONNTRACK_NETBIOS_NS=y
CONFIG_NF_CONNTRACK_SNMP=y
CONFIG_NF_CONNTRACK_PPTP=m
CONFIG_NF_CONNTRACK_SANE=m
CONFIG_NF_CONNTRACK_SIP=y
CONFIG_NF_CONNTRACK_TFTP=m
CONFIG_NETFILTER_XT_MATCH_CONNTRACK=y
CONFIG_NF_CONNTRACK_IPV4=y
CONFIG_NF_CONNTRACK_IPV6=y

Kernel 4.9.13-gr1 (z łatką grsecurity-3.1-4.9.13-201702261126.patch).

Pozdro

@Jacekalex

Mam tak samo:

root@proton:/boot# grep -i conntrack config-4.9.13-grsec
CONFIG_NF_CONNTRACK=y
CONFIG_NF_CONNTRACK_MARK=y
CONFIG_NF_CONNTRACK_SECMARK=y
CONFIG_NF_CONNTRACK_ZONES=y
CONFIG_NF_CONNTRACK_PROCFS=y
CONFIG_NF_CONNTRACK_EVENTS=y
CONFIG_NF_CONNTRACK_TIMEOUT=y
CONFIG_NF_CONNTRACK_TIMESTAMP=y
CONFIG_NF_CONNTRACK_LABELS=y
CONFIG_NF_CONNTRACK_AMANDA=y
CONFIG_NF_CONNTRACK_FTP=y
CONFIG_NF_CONNTRACK_H323=y
CONFIG_NF_CONNTRACK_IRC=y
CONFIG_NF_CONNTRACK_BROADCAST=y
CONFIG_NF_CONNTRACK_NETBIOS_NS=y
CONFIG_NF_CONNTRACK_SNMP=y
CONFIG_NF_CONNTRACK_PPTP=y
CONFIG_NF_CONNTRACK_SANE=y
CONFIG_NF_CONNTRACK_SIP=y
CONFIG_NF_CONNTRACK_TFTP=y
CONFIG_NETFILTER_XT_MATCH_CONNTRACK=y
CONFIG_NF_CONNTRACK_IPV4=y
CONFIG_NF_CONNTRACK_IPV6=y
root@proton:/boot# lsmod
Module                  Size  Used by
root@proton:/boot#

Nie wiem co jest grane. Instalowalem/kompilowalem jako [M]. Jakas rada ?

@arecki
Tak to ma wygladac ? :(

root@proton:/var/www/bryn1u/data# lsmod
Module                  Size  Used by
root@proton:/var/www/bryn1u/data#

Moze glupie pytanie, ale jak z tego korzystac ? Mam problem z ftp. Zawiesza sie na "listowaniu katalogow" przy wlaczonym iptables i polityce drop. Jezeli wylacze firewalla to dziala bez problemu. Z tego co sie doczytalem to musze miec modul conntrack_ftp do sledzenia stanu pakietow bo inaczej problem bedzie caly czas. Patrzac na moj config CONFIG_NF_CONNTRACK_FTP=y on jest, ale problem dalej wystepuje. Ehh wiem, ze juz nic nie wiem.

Jacekalex napisał(-a):

Przy włączonym FW nie listuje?

Coś przekombinowałeś z tym FW, jaki to serwer FTP?

Listuje jak, na tym Linuxie jest serwer, czy jak na nim listujesz zawartość z innego serwera przez klienta FTP?

Pewnie chodzi o pasywne porty, gdzie serwer otwiera połączenie zwrotne, albo jakiś błąd w konfiguracji serwera albo klienta FTP.

Nic nie przekombinowalem bo przy polityce drop i otwarciu tylko portu 20 i 21 jest dokladnie to samo. Jezeli lacze sie z desktopa na server caly proces inicjacji clienta z serverem przebiega bez problemu do momentu gdy pokazuje sie komunikat Status:    Połączenie nawiązanie, oczekiwanie na wiadomość powitalną...
Status:    Inicjowanie TLS...
Status:    Weryfikacja certyfikatu...
Status:    Połączenie TLS nawiązane.
Status:    Zalogowany
Status:    Uzyskiwanie listy katalogów...
I na tym koniec dalej juz nie idzie. FTP jest to jedyny protokol, ktory u mnie nie dziala. Reszta dziala bez problemu. TCPDUMP nie pokazuje nic. Porownanlem z wl i wyl firewallem jest dokladnie to samo. W przypadku wlaczonego firewalla, gdy do chodzi do wyswietlania katalogu usera po prostu pakiety przestaja latac.

Ostatnio edytowany przez bryn1u (2017-03-04 21:33:12)

Jacekalex napisał(-a):

Widzisz tu gdzieś wróżkę?

Serwer ma logi, można go puścić w trybie Verbose/Debug, pod warunkiem, że wiesz jaki to serwer i wiesz, gdzie te logi zapisuje.

Po stronie klienta, 80% klientów FTP nie potrafi gadać z Proftpd ani Vsftpd.
Powinieneś użyć Fileziili - najlepszy i najbardziej niezawodny klient,  ładnie wyświetla komunikaty FPT, albo połączyć się konsolowym klientem FTP z Linuxa,
i napisać, co wyświetlił.

Bo szklanej kuli to tu nikt nie ma, żeby wiedzieć, co tam się u Ciebie dzieje.

Najlepiej z resztą olać sikiem prostym FTP, i zaprzyjaźnić się z serwerem OpenSSH, który działa o miliardy lat świetlnych lepiej, niż serwery FTP.

Nawet nie sprawdziłeś i nie napisałeś, w jakim trybie się łączysz, pasywnym czy aktywnym, i w jakim trybie masz ustawione  szyfrowanie (brak, ftpes, ftps).

U Ciebie to wygląda na problem z portami połączenia pasywnego, ale to powinien zakomunikować serwer w logu debug (jak się wreszcie dowiesz, jaki serwer zainstalowałeś, i na jakim systemie go zainstalowałeś, i o tym oczywiście napiszesz).


PS:
Najpierw puść serwer w ogóle bez szyfrowania, i jak będzie prawidłowo działał bez tego szyfrowania, to wtedy je włączysz ponownie.


To by było na tyle
xD

Bzdury opowiadasz, zadne pasywne.

Wlasnie sprawdzilem na innym serverze dokladnie te same regulki przy wlaczonym i wylaczonym modlue conntrack_ftp. Jest dokladnie tak jak napisalem. Bez wlaczonego conntracka nie wylistuje ci plikow ! Polaczenie jest aktywne a nie pasywne. Jak moglem nie sprawdzic skoro konfigurowalem ten server ? Po ktores z kolei uzywam filezilli. Bylo sprawdzane z szyfrowaniem i bez. I co ma szyfrowanie do tego skoro masz napisane, ze klient zostal polaczony i zalogowany bo nie bardzo rozumiem. To wez mistrzu i sprawdz co ci logi powiedz na temat tego bledu bo sam jestem ciekaw, gdyz nic nie widac i  ludzie maja z tym problem bo nawet nie ma co wkleic w google. Po 4 musze uzywac ftp bo jest zintegrowany z panelem, ktory nie jest za darmo. Osobiscie wole openssh, ale tutaj takiej mozliwosci nie ma. A co ma system do tego ? Jest to ewidenta wina brakujacego modulu co sie z reszta potwierdzilo, przeciez jajko sie kompiluje tak samo. Wczesniej sprawdzalem na Proftpd i Pure-ftpd bylo dokladnie to samo. 80% klientow ? ciekawe skad wziales te statystyki chyba tutaj dochodzi czynnik ludzki.

Ostatnio edytowany przez bryn1u (2017-03-04 22:54:17)

Jacekalex napisał(-a):

Logi serwera z tego błędu umiesz znaleźć? czy nie?

Nikt ci nie każe wyłączać conntrack_ftp.

Przy okazji, w jakim trybie szyfrowania logujesz się filezillą?

W logach nie ma kompletnie nic tak samo jak tcpdump tez nic nie pokazuje dlatego jak ktos nie zna tego problemu to bedzie mu bardzo ciezko go zdiagnozowac. Problem jest rozwiazany.

@Jaceklex

wpisz modprobe -r nf_conntrack_ftp, wlacz obojetnie jakiego firewalla z polityka drop i sprobuj sie placzyc przez ftp. A pozniej zrob to samo z modprobe nf_conntrack_ftp

Pozdrawiam,

@Jacekalex

Zastanawiam sie czy ty w ogole czytasz co ja do Ciebie pisze.

Po pierwsze:
Regula zostala sprawdzona na Debianie z jajkiem 4.9.13-grsec i tutaj byl problem z nf_conntrack_ftp (zreszta "ftp" nie wzielo sie bez powodu).  Nastepnie ta sama regule przenioselm na Centosa 7.3 z jajkiem dystrybucyjnym i dzala bez problemu. Z ciekawosci wylaczylem nf_conntrack_ftp i nie dziala, zatrzymuje sie na listowaniu katalogow. Po wlaczeniu nf_conntrack_ftp znow smiga az milo. Po trzecie pisalem wyzej, ze stworzylem najprostsza regule i na niej tez nie dziala i tez wisi podczas listowania. Wszystko trafia tak jak ma trafiac i firewall dziala bez problemu tylko nie mozesz zrozumiec, ze to nie jest wina portow, firewalla czy jeszcze czegos innego tylko jednego jedynego modulu, ktory jest wymagany do sledzenia pakietow ftp bo inaczej przy polityce drop sa z powrotem kierowane do tej polityki i dlatego nie listuje katalogow. Niestety protokol ftp jest wrzodem na tylku, ktory obsluguje dwa porty.

Nie, nie czeka kawal czasu tylko laczy sie ponownie i probuje przejsc w tryb pasywny i nie wyrzuca bledu. Logi sa czyste, wiec co mam wkleic ? Proftpd nie wyrzuci mi bledu, ktory go nie dotyczy. Nawiazuje polaczenie, loguje sie i czeka nie wyrzuca kompletnie nic. Sprawdzalem dokaldnie w tcpdumpie i tez kompletnie nic nie ma. U Ciebie moze byc taki problem jak opisales. A ja mowie, ze przy zwyklej proste prymitywnej regule bez state i conntrack tez jest ten blad jezeli jest wylaczony modul lub jego brak co w moim przypadku tak sie stalo.