Re: AW: AW: proftpd und mod_tls
Miro Dietiker, MD Systems wrote: Gerne korrigiere ich ;) Die Tatsache, dass viele Server zwei unterschiedliche Ports für verschlüsselten und unverschlüsselten Verkehr verwenden, ist hostorisch bedingt! Hallo! Gute infos! nur habe ich gerade wie in einem weiteren post gesehen das andere auch ein problem haben mit einem clienten (anderer OSs) auf den server zu kommen. mir fehlt hier die erfahrung den grund zu finden. syslog meldet die verbindung, lokal oder von einem php-ftp clienten (bei einem hoster) habe ich kein problem eine verbindung her zu stellen um daten zu transferieren. andere clienten unter mac os/win machen probleme dessen fehler ich nicht deuten kann :-( verbindung wird hergestellt (PASV an/aus) erstes LIST wird angezeigt und dannach geht nichts mehr. *Transmit 3.0.2 Session Transcript *LibNcFTP 3.1.9 (October 16, 2004) compiled for macosx10.3.8 Uname: Darwin|newuser-Computer.local|7.9.0|Darwin Kernel Version 7.9.0: Wed Mar 30 20:11:17 PST 2005; root:xnu/xnu-517.12.7.obj~1/RELEASE_PPC |Power Macintosh Sysinfo: Mac OS X 10.3.9 (Build 7W98) Remote server is running ProFTPD. 220: ProFTPD Server Connected to host.org. *Cmd: AUTH TLS *234: AUTH TLS successful *Cmd: USER *newuser 331: Password required for newuser. *Cmd: PASS *230: User newuser logged in. Logged in to host.org as newuser. *Cmd: PBSZ 0 Cmd: PROT P *200: PBSZ 0 successful Protection set to Private *Cmd: SYST *215: UNIX Type: L8 *Cmd: CWD / *250: CWD command successful *Cmd: PWD *257: "/" is current directory. *Cmd: PWD *257: "/" is current directory. *Cmd: PASV *227: Entering Passive Mode (192,168,1,10,133,97). und hier ist schluss. wie kann ich untersuchen was dem server /clienten fehlt? gruß Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
AW: AW: proftpd und mod_tls
Gerne korrigiere ich ;) Die Tatsache, dass viele Server zwei unterschiedliche Ports für verschlüsselten und unverschlüsselten Verkehr verwenden, ist hostorisch bedingt! Die TLS-Serie erlaubt die Nutzung von desselben Ports wie früher, führt jedoch zur initiierung des TLS-verschlüsselten Verkehrs ein neues Schlüsselwort im betreffenden Protokoll ein. Das ist bei LDAP, POP3, FTP, usw überall so und ist ein Kern des Konzepts, da man langsam aufhören sollte pro Protokoll einen Port - und dann noch pro Verschlüsselungsvariante des Ports einen zweiten zu registrieren. Ein Client welcher also TLS traffic wünscht, verbindet ganz normal zu Port 21 und fragt den Server nach der TLS-Capability an mit "AUTH TLS". Nachdem das gelungen ist, würde man nun denselben Port die kommunikation TLS verschlüsseln. Speziell bei FTP gibt es keinen "historischen verschlüsselten port" (es war mal in einem draft der Port 990 vorgeschlagen, der wurde aber wieder entfernt) weshalb ich davon ausgehe, dass man einfach den Transfer auf Port 21 nach dem handshaking mit der Protokollerweiterung encryptet... Aber ich lasse mich auch gerne korrigieren ;-) +---+ +---+ | Miro Dietiker | | MD Systems Miro Dietiker | +---+ +---+ -Ursprüngliche Nachricht- Von: Jan Kohnert [mailto:[EMAIL PROTECTED] Gesendet: Donnerstag, 1. Dezember 2005 01:19 An: debian-user-german@lists.debian.org Betreff: Re: AW: proftpd und mod_tls Miro Dietiker, MD Systems schrieb: > Und was ist jetzt mit anonymous ftp mit ssl anders? > Im Protokoll der Kommunikation spricht ja noch niemand von einem > Benutzernamen, sondern das scheitert viel früher. AFAIK ist SSL sowas wie eine "eigenes Protokoll". Es wird eine anderer Socket/Port benutzt, der verschlüsselt ist und auf dem setzt dann das jeweilige "eigentliche" Protokoll auch (Beispiele https, ftps, pop3s, imaps). Machst du eine Verschlüsselung über TLS, wird der Stream selbst verschlüsselt, der Socket/Port bleibt derselbe, wie beim Protokoll ohne TLS (Bsp smtp, pop3, imap mit TLS). Ein Beispiel: Du holst deine Nachrichten per pop3s ab: Dein MUA baut eine sichere Verbindung über Port 995 zum Server auf, diese ist SSL-verschlüsselt. Danach pop3-Protokoll, wie normal auch Port 110, allerdings über Port 995 und verschlüsselt. Du holst deine Nachrichten per pop3 mit TLS ab: Dein MUA baut eine "normale" Verbind zum Server auf Port 110 auf. Der Server sagt, er kann TLS, worauf dein MUA mit dem Server über einen Cipher die Verbindung verschlüsselt. Über diese verschlüsselte Verbindung auf Port 110 wird dann wie gehabt das weitere pop3 Protokoll abgearbeitet. Das ist sicherlich eine viel zu einfache Erklärung (korrigiert mich bitte), macht aber trotzdem deutlich, das SSL und TLS zwei ganz unterschiedliche Sachen sind. Ich denke, das ist mit ftp/ftps/ftp mit TLS ähnlich... HTH, als Einleitung... MfG Jan -- OpenPGP Public-Key Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A
Re: AW: proftpd und mod_tls
Miro Dietiker, MD Systems schrieb: > Und was ist jetzt mit anonymous ftp mit ssl anders? > Im Protokoll der Kommunikation spricht ja noch niemand von einem > Benutzernamen, sondern das scheitert viel früher. AFAIK ist SSL sowas wie eine "eigenes Protokoll". Es wird eine anderer Socket/Port benutzt, der verschlüsselt ist und auf dem setzt dann das jeweilige "eigentliche" Protokoll auch (Beispiele https, ftps, pop3s, imaps). Machst du eine Verschlüsselung über TLS, wird der Stream selbst verschlüsselt, der Socket/Port bleibt derselbe, wie beim Protokoll ohne TLS (Bsp smtp, pop3, imap mit TLS). Ein Beispiel: Du holst deine Nachrichten per pop3s ab: Dein MUA baut eine sichere Verbindung über Port 995 zum Server auf, diese ist SSL-verschlüsselt. Danach pop3-Protokoll, wie normal auch Port 110, allerdings über Port 995 und verschlüsselt. Du holst deine Nachrichten per pop3 mit TLS ab: Dein MUA baut eine "normale" Verbind zum Server auf Port 110 auf. Der Server sagt, er kann TLS, worauf dein MUA mit dem Server über einen Cipher die Verbindung verschlüsselt. Über diese verschlüsselte Verbindung auf Port 110 wird dann wie gehabt das weitere pop3 Protokoll abgearbeitet. Das ist sicherlich eine viel zu einfache Erklärung (korrigiert mich bitte), macht aber trotzdem deutlich, das SSL und TLS zwei ganz unterschiedliche Sachen sind. Ich denke, das ist mit ftp/ftps/ftp mit TLS ähnlich... HTH, als Einleitung... MfG Jan -- OpenPGP Public-Key Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A pgpxk2VV4p6VB.pgp Description: PGP signature
AW: proftpd und mod_tls
Hmm... Nach meinem Protokoll ist ein Schritt vor der Vereinbarung einer passenden Verschlüsselung (Cypher) schon sense, nämlich dann, wenn der Client den Server nach "AUTH TLS" fragt. Das kommando wird ja offenbar eifach mit einem Fehler beantworet :( > dispatching LOG_CMD_ERR command 'AUTH TLS' to mod_log tiger Wenn ich das mit lftp probiere, kommt im debug Log des servers gar nie etwas (mit deiner Version), einzig der client schreibt bei einem "ls" 'ls' at 0 [Delaying before reconnect: 30 ...0] Und was ist jetzt mit anonymous ftp mit ssl anders? Im Protokoll der Kommunikation spricht ja noch niemand von einem Benutzernamen, sondern das scheitert viel früher. Andere Idee, oder was habe ich falsch verstanden? +---+ +---+ | Miro Dietiker | | MD Systems Miro Dietiker | | | | www.md-systems.ch | +---+ +---+ -Ursprüngliche Nachricht- Von: Sven Hoexter [mailto:[EMAIL PROTECTED] Gesendet: Mittwoch, 30. November 2005 20:01 An: Miro Dietiker, MD Systems Betreff: Re: proftpd und mod_tls On Wed, Nov 30, 2005 at 01:46:50PM +0100, Miro Dietiker, MD Systems wrote: > Hallo zusammen! > > Ich bin gerade im Kampf mit meinem proftpd. > Nach einigen Infos in HowTos habe ich gesehen, dass Proftpd sehr einfach > FTPS supporten soll. Hast Du mal geguckt welche Verschluesselung Smart FTP verwendet? Ich meine der wuerde auch verschiedenes unterstuetzen und das default waere nicht TLSv1 kompatibel gewesen. Nur so ein Gedanke ist auch schon eine Weile her. Alternativ mal mit lftp von einer Linux Kiste probiert? Aber vorsicht die Debian Versinen von lftp saugen mal wieder kleinere Gebirge durch Strohalme da aus Lizenz Gruenden ohne --ssl compiled wurde. Fuer sarge habe ich ein passend recompiltes binary hier: ftp://hxt.homelinux.org/debstuff/lftp_3.1.3-1.ssl.2_i386.deb Ist allerdings mehr so fuer den privat gebrauch. Ansonsten kannst Du auch mal probieren per anonymous ftp mit ssl Verschluesselung auf die Kiste zu kommen. HTH Sven -- If God passed a mic to me to speak I'd say stay in bed, world Sleep in peace [The Cardigans - 03:45: No sleep]
