[VSFTPD]425 Failed to establish connection

MissJane · Février 21, 2016, 9:24pm

Bonjour,

J’ai un probleme avec mon serveur vsftpd.
J’ai bien ouvert les pots de mon firewall, la conneciton se fait bien, mais le passive mode ne marche pas correctement.

J’ai l’impression qu’il ne prends pas les bons ports :
Ma configuration => 4010-4100
Message PASV => XXX,XXX,XXX,XXX,15,224

Voici quelques informations utiles :

uname -a

[quote]
Linux xxx.yyy 3.2.0-4-amd64 #1 SMP Debian 3.2.65-1 x86_64 GNU/Linux[/quote]

cat /etc/vsftpd.conf

cat /var/log/vsftpd.log

Fri Feb 20 11:53:48 2015 [pid 2] CONNECT: Client "193.51.113.144"
Fri Feb 20 11:53:48 2015 [pid 2] FTP response: Client “193.51.113.144”, "220 (vsFTPd 2.3.5)"
Fri Feb 20 11:53:50 2015 [pid 2] FTP command: Client “193.51.113.144”, "USER macou"
Fri Feb 20 11:53:50 2015 [pid 2] [macou] FTP response: Client “193.51.113.144”, "331 Please specify the password."
Fri Feb 20 11:53:55 2015 [pid 2] [macou] FTP command: Client “193.51.113.144”, "PASS "
Fri Feb 20 11:53:55 2015 [pid 1] [macou] OK LOGIN: Client "193.51.113.144"
Fri Feb 20 11:53:55 2015 [pid 3] [macou] FTP response: Client “193.51.113.144”, "230 Login successful."
Fri Feb 20 11:53:55 2015 [pid 3] [macou] FTP command: Client “193.51.113.144”, "SYST"
Fri Feb 20 11:53:55 2015 [pid 3] [macou] FTP response: Client “193.51.113.144”, "215 UNIX Type: L8"
Fri Feb 20 11:54:02 2015 [pid 3] [macou] FTP command: Client “193.51.113.144”, "PASV"
Fri Feb 20 11:54:02 2015 [pid 3] [macou] FTP response: Client “193.51.113.144”, "227 Entering Passive Mode (XXX,XXX,XXX,XXX,15,224)."
Fri Feb 20 11:54:05 2015 [pid 3] [macou] FTP command: Client “193.51.113.144”, "PORT 193,51,113,144,203,226"
Fri Feb 20 11:54:05 2015 [pid 3] [macou] FTP response: Client “193.51.113.144”, "200 PORT command successful. Consider using PASV."
Fri Feb 20 11:54:05 2015 [pid 3] [macou] FTP command: Client “193.51.113.144”, "LIST"
Fri Feb 20 11:55:05 2015 [pid 3] [macou] FTP response: Client “193.51.113.144”, “425 Failed to establish connection.”

Merci d’avance !

avram · Février 21, 2016, 9:24pm

bonjour.

Etes vous derrière une *box?
Vous connectez vous depuis une machine du réseau interne ou depuis une machine éxterieure?

PascalHambourg · Février 21, 2016, 9:24pm

Visiblement, les ports ne sont suffisamment ouverts.
Fournis la sortie d’iptables-save.
Utilises-tu le suivi de connexion FTP nf_conntrack_ftp pour marquer les connexions de données comme RELATED ? Comme tu n’utilises pas le port standard 21 pour la connexion de commande, le suivi de connexion qui ne surveille que le port 21 par défaut ne fonctionnera pas. C’est valable pour les autres pare-feu ou NAT sur le chemin entre le client et le serveur, et cela fait que la tentative de connexion de données en mode actif du serveur vers le client qui suit (PORT) n’a quasiment aucune chance de passer.

[quote=“MissJane”]J’ai l’impression qu’il ne prends pas les bons ports :
Ma configuration => 4010-4100
Message PASV => XXX,XXX,XXX,XXX,15,224[/quote]
15*256+224=4064 qui est bien dans la plage spécifiée.

MissJane · Février 21, 2016, 9:24pm

[quote=“avram”]bonjour.

Etes vous derrière une *box?
Vous connectez vous depuis une machine du réseau interne ou depuis une machine éxterieure?[/quote]

Bonjour, merci de ta reponse !
Alors ma machine est un VPS OVH, donc elle n’est pas derriere une box. C’est donc une machine exterieur.

PascalHambourg:

Visiblement, les ports ne sont suffisamment ouverts.
Fournis la sortie d’iptables-save.[/quote]

Bonjour, merci de ta reponse.
Voici la sortie d’iptables-save:

[quote]# Generated by iptables-save v1.4.14 on Fri Feb 20 13:09:48 2015
*nat
: PREROUTING ACCEPT [45:5438]
:INPUT ACCEPT [44:5385]
:OUTPUT ACCEPT [0:0]
: POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

Completed on Fri Feb 20 13:09:48 2015

Generated by iptables-save v1.4.14 on Fri Feb 20 13:09:48 2015

*filter
:INPUT DROP [1:53]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [1:86]
:fail2ban-apache - [0:0]
:fail2ban-apache-badbots - [0:0]
:fail2ban-apache-nohome - [0:0]
:fail2ban-apache-noscript - [0:0]
:fail2ban-apache-overflows - [0:0]
:fail2ban-exim - [0:0]
:fail2ban-pam-generic - [0:0]
:fail2ban-php-url-fopen - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
-A INPUT -p tcp -m tcp --dport 4010:4100 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465 -j fail2ban-exim
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-php-url-fopen
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-nohome
-A INPUT -p tcp -j fail2ban-apache-badbots
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-overflows
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-noscript
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh-ddos
-A INPUT -p tcp -j fail2ban-pam-generic
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2309 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1602 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2103 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 45217 -j ACCEPT
-A INPUT -p udp -m udp --dport 45217 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3012 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 465 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A fail2ban-apache -j RETURN
-A fail2ban-apache-badbots -j RETURN
-A fail2ban-apache-nohome -j RETURN
-A fail2ban-apache-noscript -j RETURN
-A fail2ban-apache-overflows -j RETURN
-A fail2ban-exim -j RETURN
-A fail2ban-pam-generic -j RETURN
-A fail2ban-php-url-fopen -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh-ddos -j RETURN

Le module kernel “nf_conntrack_ftp” n’est pas load comme le montre la commande suivante :
lsmod | grep ftp:
Pas de resultat.

[quote=“PascalHambourg”]

[quote=“MissJane”]J’ai l’impression qu’il ne prends pas les bons ports :
Ma configuration => 4010-4100
Message PASV => XXX,XXX,XXX,XXX,15,224[/quote]
15*256+224=4064 qui est bien dans la plage spécifiée.[/quote]

Tres bien, mais du coup je ne comprends pas pourquoi ca ne fonctionne pas.

Merci !

PascalHambourg · Février 21, 2016, 9:24pm

Bon, les règles iptables nécessaires sont bien en place pour le mode passif FTP :

-A INPUT -p tcp -m tcp --dport 4010:4100 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 3012 -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Il faut chercher ailleurs.
Que disent les logs du client, notamment l’adresse IP passive ?
As-tu testé en autorisant temporairement tout depuis et vers l’adresse IP du client ?
Le blocage est peut-être du côté du client, s’il a un pare-feu un peu strict.