Poludeo FTP server

Gaston · 07.08.2014

Pre par dana, iz čista mira, prestao da mi radi ftp server. Ali kako? Sa inside strane sve u redu. Radi ssh, radi ftp/sftp, a sa outside
prolaze samo icmp paketi, ostalo ništa! Server je u dmz-u, spolja dozvoljen pristup samo po portovima 20, 21, 22(i udp i tcp).
Server je VM, na vmware platformi, na Blade serveru, na kom je dignuta još gomila servera i ni jedan od njih nema problema.
FTP je javno oglašen. Sve sam probao, čak sam iz očaja na fw pustio sav ip saobraćaj ka njemu i neće stoka da radi spolja, pa
to ti je. Sve vreme, sa raznih looking glass servisa server se javlja i vidi. Ali ne dozvoljava da mu se pridje po ftp/sftp-u. Muka
je u tome što mu svakodnevno pristupa gomila firmi sa kojima sarađujemo i sa kojima razmenjujemo fajlove koji su za posao
vrlo važni. Opet, iz očaja, promenim mu javnu adresu, stavim adresu iz istog pula, promenu uradim i na access listi na fw-u
i sve radi!

Da sumiram: spolja, ping prolazi, traceroute takodje. Ne prolaze ssh, ftp, sftp. Access listom, ka njemu je, spolja, dozvoljen pristup
samo po portovima 20, 21, 22. Iznutra sve radi. Kad mu javnu adresu promenim adresom iz istog pula i izvrsim promenu i kroz access
listu, sve je ok.

Server je dignut na Ubuntu 10.04.2 LTS, ufw, za probu, ugasio.

Serveru root pristup ima nas četvoro. Svi se kunu da nisu ništa radili. Misleći da će pomoći, vratim iz bekapa stanje veče pre dana
kad je poludeo, ali ništa.

Jel imao neko ovakav potpuno nenormalan slučaj? Ja više ne znam šta još da probam. Osim da ostavim novu adresu i svima javim
promenu (naj*baće mi se majke neko)...

joaki97 · 07.08.2014

Pitanje je sad da li postoji realna mogućnost da se pronađe kvar, moja preporuka ti je da prebaciš fajlove na neki privremeni ftp i onda tu mašinu, ispočetka ali sa novim ubuntu 14.04 ili možda još bolje debianom da konfigurišeš, mislim da ti ne bi trebalo više od par sati da ga staviš u pogon, jer mislim da hardver nije, a ubuntu ti je poprilično star... javi šta si uradio.

nickname · 07.08.2014

Da nije neko čačnuo listening interfejse? Šta kaže:

Kod:

netstat -nltp

Gaston · 07.08.2014

joaki97 je napisao(la):
Pitanje je sad da li postoji realna mogućnost da se pronađe kvar, moja preporuka ti je da prebaciš fajlove na neki privremeni ftp i onda tu mašinu, ispočetka ali sa novim ubuntu 14.04 ili možda još bolje debianom da konfigurišeš, mislim da ti ne bi trebalo više od par sati da ga staviš u pogon, jer mislim da hardver nije, a ubuntu ti je poprilično star... javi šta si uradio.

Ovo ću svakako da uradim, čim uhvatim malo vremena. Ne znam zaista šta može da bude razlog. Svakako ću javiti šta sam uradio. Za sad, radi sa novom javnom, propagirao sam promenu korisnicima...

Gaston · 07.08.2014

nickname je napisao(la):
Da nije neko čačnuo listening interfejse? Šta kaže:

Kod:

netstat -nltp

To je bilo prvo što sam uradio. Sve ok.

milanbb · 07.08.2014

A da li si siguran da je do servera problem? Mozda je neko babrao po ruteru?

Pera · 07.08.2014

Meni ovo liči da je problem sa NAT-om ili javnom IP adresom. Da li si probao da postaviš neku mašinu u DMZ-u pa da priđeš ftp-u iz istog subnet-a?

Gaston · 07.08.2014

RE: milanbb

Pristup mrežnoj opremi u firmi imamo samo kolega i ja. To smo zajedno proverili, čisto da budemo sigurni. I BGP ruteri i Internet gw (to je ASA na kojoj je access lista koja brani-dozvoljava pristup DMZ-u) su OK. Imamo rancid u produkciji, konfiguracije se redovno bekapuju, proverili, sve ok.

RE: Pera

Da je NAT problem i mi smo prvo pomislili. Postoji statički nat za tu adresu. Međutim, kad sam promenio adresu serveru, promenio sam je i u nat translaciji i u access listi i to radi! Probao sam i sa mašinom (netbook) u DMZ-u, sa originalnom neće, sa novom radi veselo. Grebem mu mater (izvi'nte na mom francuskom), kako adresa, moja, iz mog pula, iz mog AS-a može da napravi ovakvo ******? Ne razumem...

Pera · 07.08.2014

Mene redovno zeza PIX (preteča ASA) sa translacijama, posle svake promene NAT-a moram da uradim "clear xlate local IP". Probaj da očistiš iz NAT tabele tu problematičnu adresu.

Gaston · 07.08.2014

Pera je napisao(la):
Mene redovno zeza PIX (preteča ASA) sa translacijama, posle svake promene NAT-a moram da uradim "clear xlate local IP". Probaj da očistiš iz NAT tabele tu problematičnu adresu.

Jesam. Kolega je čak resetovao fw (i napravio nam malo dodatnog posla na svu ovu muku...) I ništa.

P.S. Do pre 6 meseci sam u produkciji imao PIX520 :d A jedan 515E i dalje radi

nenandi · 11.08.2014

A mozes li da proveris DNS setovanja, jednom sam tako imao problem sa DNS-om stavio DNS adresu routera (telekom HG530) i uspeo je da resolvuje putanju port-a

Pera · 11.08.2014

Ok, ako sam dobro shvatio, ti imaš problem sa DMZ adresom, javna radi bez problema? Da li na samom serveru možeš da se povežeš na FTP preko DMZ adrese?

Gaston · 11.08.2014

Pera je napisao(la):
Ok, ako sam dobro shvatio, ti imaš problem sa DMZ adresom, javna radi bez problema? Da li na samom serveru možeš da se povežeš na FTP preko DMZ adrese?

Samo me javna zeza, tj. zezala je dok nisam promenio adresu. Iz moje (mojih) mreze, iznutra, sve je radilo/radi bez ikakvih problema. Uhvaticu jedan dan ove nedelje i dici cu novi server, sa novijom verzijom Ubuntua, ovaj je malo bajat. Pa cu mu vratiti staru i videti kako se ponasa.

zeleni_zub · 12.08.2014

Neko se igrao sa iptables-om na serveru?

Gaston · 12.08.2014

zeleni_zub je napisao(la):
Neko se igrao sa iptables-om na serveru?

Nije, cak ni to. Jbmliga...

SeeBeen · 13.08.2014

Da li ti je podesen Passive IP u konfiguraciji FTP-a?

Pera · 13.08.2014

Da li je ta stara javna IP adresa (npr A.A.A.A) i dalje u upotrebi? Da li možeš da podigneš neki testni ftp, pa da proveriš sa tcpdump da li uopšte dolaze paketi preko tog NAT-a (A.A.A.A -> testni_ftp)?

Koliko sam shvatio, ti si napravio novi NAT sa javnom adresom A.A.A.B i ftp sada radi sa tom novom javnom adresom?

Gaston · 13.08.2014

Pera je napisao(la):
Da li je ta stara javna IP adresa (npr A.A.A.A) i dalje u upotrebi? Da li možeš da podigneš neki testni ftp, pa da proveriš sa tcpdump da li uopšte dolaze paketi preko tog NAT-a (A.A.A.A -> testni_ftp)?

Koliko sam shvatio, ti si napravio novi NAT sa javnom adresom A.A.A.B i ftp sada radi sa tom novom javnom adresom?

Staru sam izbacio. Pratio sam na ASA, pustio ping spolja na nju, ali nije se menjao counter na fw (gledao na logu acc liste koja je zalepljena za tu adresu), a server daje odgovor...

Upravo tako. Novi NAT, nova adresa, stari server, na njemu nista nisam pipnuo i to radi.

Pera · 13.08.2014

Da li je možda ta IP adresa blokirana na hop-u pre tvoje ASA-e? Da li to možeš da proveriš?

Gaston · 13.08.2014

Pera je napisao(la):
Da li je možda ta IP adresa blokirana na hop-u pre tvoje ASA-e? Da li to možeš da proveriš?

Kad spolja radim trace sa nekog od Looking glass servisa, stigne do nje bez problema. Imam dignut BGP, uvek se javljala sa strane SBB-a. Telekom mi je drugi ISP. Gadjao sam se uglavnom sa Americkih sajtova. Njih imam u bookmarks-ima, pa zato.

Pera · 13.08.2014

Probaj https://ftptest.net/ sa tvojom adresom ako imaš još volje i vremena

Možda je icmp dozvoljen a blokiran FTP (ili neki od portova za FTP).

Gaston · 13.08.2014

Pera je napisao(la):
Probaj https://ftptest.net/ sa tvojom adresom ako imaš još volje i vremena

Možda je icmp dozvoljen a blokiran FTP (ili neki od portova za FTP).

Mislis kod mene blokiran ili? Ja pustam na tu adresu samo 20, 21 i 22 (i udp i tcp). I icmp, naravno. Ono sto me je izludelo je i to sto sam, onako iz ocaja, na tu adresu pustio sav ip saobracaj i stoka nije htela da radi. Poredio konfiguracije za mreznu opremu, tekuce sa bekapovanim, nema razlike. Server sa novom adresom radi, a da na njemu nista pipnuo nisam.

Pera · 13.08.2014

Nisam mislio kod tebe, već kod tvog provajdera. Možda je neka dinamička polisa u pitanju. Da li si probao da forsiraš BGP rutu za tu problematičnu IP adresu preko drugog provajdera?

Gaston · 13.08.2014

Pera je napisao(la):
Nisam mislio kod tebe, već kod tvog provajdera. Možda je neka dinamička polisa u pitanju. Da li si probao da forsiraš BGP rutu za tu problematičnu IP adresu preko drugog provajdera?

Nisam, ovo nisam probao. Samo jedno pitanjce: provajder nema pojma sta je meni iza neke adrese. Ako imaju neku polisu, zar mi ne bi ubila saobracaj i za novopostavljenu adresu? Posto su iz istog pula. Meni se cini da bi tako bilo, mada posle ovog, vise nista ne mogu da tvrdim...

SeeBeen · 14.08.2014

Meni miriše na Passive IP podešavanje i Passive Port range. Ako ti je server iza NAT-a ili u DMZ, moraš da imaš pravilno podešenu pasivnu IP adresu i otvoren ceo passive port range (npr 30500-31000) koji je forwardovan ka FTP serveru.
U suprotnom ne mere, neće ti se ni konektovati.

Gaston · 15.08.2014

ETFovac je napisao(la):
Meni miriše na Passive IP podešavanje i Passive Port range. Ako ti je server iza NAT-a ili u DMZ, moraš da imaš pravilno podešenu pasivnu IP adresu i otvoren ceo passive port range (npr 30500-31000) koji je forwardovan ka FTP serveru.
U suprotnom ne mere, neće ti se ni konektovati.

Sa novom adresom, a bez menjanja bilo cega na strani servera, sve radi. I inace je ovo puklo iz cista mira. Ne znam vise, nemam volje, a ni vremena da se ovome posvetim malo vise.
Pokusacu kasnije, kad prodje guzva, da se poigram ponovo sa starom adresom. Ne smem sad, ubice me neko k'o zeca.

SeeBeen · 18.08.2014

Sysadmin gremlini, najgori su gremlini :d

Poludeo FTP server

Čuven

Cenjen

Moderator

Čuven

Čuven

Moderator

Čuven

Čuven

Čuven

Čuven

Slavan

Čuven

Čuven

Super Operater

Čuven

Jež

Čuven

Čuven

Čuven

Čuven

Čuven

Čuven

Čuven

Čuven

Jež

Čuven

Jež