ftp sotto ponte ssh

Messaggio da **ZeroUno** » gio 28 apr 2011, 13:23

devo fare un ftp ad un server ma devo farlo con un ponte ssh perchè non ho modo alternativo per uscire dalla rete.

ssh -L 127.0.0.1:21:serverftp:21 serverponte

riesco a fare la connessione al server ftp remoto interroganto 127.0.0.1. Mi chiede password ed entra.

il problema e' quando vado a fare una richiesta di dati, gia' da un ls.

Usando la modalità passiva, la mia macchina tenta di effettuare una NUOVA connessione al server remoto, 127.0.0.1, su una porta random, che non veicola su nessun tunnel ssh, e quindi fallisce.

Se non uso la modalità passiva è peggio. Il server remoto tenta di aprire una connessione verso 127.0.0.1 ma viene rifiutata perchè si aspetta di aprirla verso il vero ip da cui gli arriva la richiesta (ovvero dal server ponte)

Come si risolve la situazione?

notsafe · Messaggio da **notsafe** » gio 28 apr 2011, 16:24

Configuri un altro port forward verso una porta "passiva" del server (e qui devi sapere quale range di porte sono disponibili lato ftpd) e poi via FTP usi quella per il data.

Messaggio da **ZeroUno** » gio 28 apr 2011, 21:26

Perchè, posso specificare a ftp quale porta passiva usare?

notsafe · Messaggio da **notsafe** » gio 28 apr 2011, 21:45

se intendi lato client,si

Codice: Seleziona tutto

PORT

Syntax: PORT a1,a2,a3,a4,p1,p2
Specifies the host and port to which the server should connect for the next file transfer. This is interpreted as IP address a1.a2.a3.a4, port p1*256+p2.

se intendi lato server, anche (ma qui dipende dall'ftpd daemon, appunto)

Messaggio da **ZeroUno** » gio 28 apr 2011, 22:32

Mi piace.
Ora devo vedere se riesco ad applicarlo ad applicarlo a curlftpfs (anche se quest'ultimo mi ha dato grossa instabilità anche senza firewall o altro in mezzo)

pardo · Messaggio da **pardo** » sab 30 apr 2011, 8:58

Dovrebbe funzionare anche SOCKSificando il client ftp (es. con tsocks), e aprendo il socks server tunnellato sul remoto con ssh -D

Messaggio da **ZeroUno** » lun 2 mag 2011, 14:36

notsafe ha scritto:Configuri un altro port forward verso una porta "passiva" del server (e qui devi sapere quale range di porte sono disponibili lato ftpd) e poi via FTP usi quella per il data.

E' possibile farlo con lftp? io non ci sono riuscito

notsafe · Messaggio da **notsafe** » lun 2 mag 2011, 17:03

scusa, intendevo "attiva": PORT funziona con modalità "standard" FTP (quindi la porta 20/TCP deve collegarsi ad una porta "decisa a priori" sul client).La cosa è tecnicamente fattibile se riesci a renderizzare la parte pubblica a quella privata (se è dietro NAT,ovviamente) dell'host che fa da ponte (e ovviamente se il server FTP supporta l'ftp attivo) e se puoi modificare l'ACL davanti all'host,ma è decisamente macchinoso.
lftp supporta PORT (anche se in modo un pò "statico",settandolo cioè in un file di configurazione):

ftp:port-range (from-to)
allowed port range for active mode. Format is min-max, or `full' or `any' to indicate any port. Default is `full'.

in pratica,presupponendo come setting ftp:port-range 2255-2255

- CLIENT ---> SSH FORWARD --> SERVER FTP (21/TCP) per la sessione
- SERVER FTP (20/TCP) --> SSH FORWARD --> CLIENT (2255/TCP)

una gran rottura.
Domanda stupida: niente socks,proxy o altri protocolli meno infami?

Messaggio da **ZeroUno** » lun 2 mag 2011, 19:12

socks non lo provato. E' una cosa che non ho mai utilizzato e quindi me lo dovrei studiare (e non ho tempo).

avevo provato ftp:port-range ed effettivamente non funziona con passive.

Nessun problema a mettere tutto in file di configurazione (quello stavo facendo).

Purtroppo è proprio il proxy che è abbastanza infame e non mi supporta l'ftp.

Messaggio da **Luci0** » lun 2 mag 2011, 22:06

Secondo me esiste un problema di fondo ... ovvero apre due canali uno per i dati ed uno per i comandi. Hai provato a ridirezionare anche la porta 20 ?
Ma forse la cosa più semplice é usare scp e sftp !

Messaggio da **ZeroUno** » lun 2 mag 2011, 22:32

Luci0 ha scritto:Secondo me esiste un problema di fondo ... ovvero apre due canali uno per i dati ed uno per i comandi. Hai provato a ridirezionare anche la porta 20 ?

Se non erro l'ftp passivo non dovrebbe usarla. Infatti il netstat mi mostra il tentativo di apertura di un'altra porta randomica.

Ma forse la cosa più semplice é usare scp e sftp !

Magari.
Il server remoto accetta ftp e basta.

Messaggio da **Luci0** » lun 2 mag 2011, 22:37

Ma puoi configurare qualcosa sul server ftp ?
Installarci sshd no?

Messaggio da **ZeroUno** » mar 3 mag 2011, 0:02

Luci0 ha scritto:Ma puoi configurare qualcosa sul server ftp ?
Installarci sshd no?

non è mio

, anche perchè si tratta di internet in generale.

Mia è la macchina ponte (relativamente mia.. è un server di produzione che gestisco io).

Messaggio da **ZeroUno** » mar 3 mag 2011, 9:08

mi sono stufato di scervellarmi, così ho sfruttato un proxy raggiungibile dalla macchina ponte ed ho tunnellato quello.

slacky.eu

ftp sotto ponte ssh

ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh

Re: ftp sotto ponte ssh