ftp
Dan Lukes
dan at obluda.cz
Tue Aug 7 15:12:57 CEST 2007
Marchyn Tibor napsal/wrote, On 08/07/07 14:33:
> Posielam ti tie vypisy....
> tcpdump -s1600 -p -i em0 -w zaNAT host 80.188.94.106 and \( host 212.80.77.48 \)
> tcpdump -s1600 -p -i em1 -w predNAT host 10.10.10.22 and \( host 212.80.77.48 \)
Takze ted ten slibeny vytah pro ostatni. Takto vypada session:
<<< 220 bisvan Microsoft FTP Service.(Version 5.0)
>>> USER (cenzurovano1)
<<< 331 Password required for (cenzurovano1)
>>> PASS (cenzurovano2)
<<< 230 User (cenzurovano1) logged in
>>> SYST
<<< 215 Windows_NT.version 5.0
>>> FEAT
<<< 500 'FEAT': command not understood
>>> PWD
<<< 257 "/(cenzurovano1)" is current directory...
>>> TYPE A
<<< 200 Type set to A
>>> PASV
<<< 227 Entering Passive Mode (212,80,77,48,9,213)
A nastava presne ta chvile, kdy ma FTP klient otevrit datove spojeni, o
coz se take pokousi:
14:07:27.602488 IP 10.10.10.22.24313 > bisvan.ccf.cz.2517: S
789463223:789463223(0) win 32768 <mss 1460,nop,nop,sackOK>
14:07:30.499823 IP 10.10.10.22.24313 > bisvan.ccf.cz.2517: S
789463223:789463223(0) win 32768 <mss 1460,nop,nop,sackOK>
14:07:36.451070 IP 10.10.10.22.24313 > bisvan.ccf.cz.2517: S
789463223:789463223(0) win 32768 <mss 1460,nop,nop,sackOK>
Nikdy ale nedostava zadnou odpoved a dojde k zaveru, ze pasivni mod
neni pruchozi. Zkusi tedy aktivni:
>>> PORT.10,10,10,22,95,10
<<< 500.Invalid PORT Command
Ani to nevyjde a tak definitivne vzdava.
>>> QUIT
Komunikace zachycena za prekladem vypada naprosto identicky,
samozrejme, az na prelozenou zdrojovou adresu paketu. Pokus o otevreni
datoveho spojeni ale selze uplne stejne (na SYN pakety neprichazi zadna
odpoved). To, ze neprojde pokus o spojeni aktivnim modem je jasny, NAT
do datove casti paketu nesaha a prikaz PORT "v puvodnim zneni" je pro
server pochopitelne vadny.
Podle meho nazoru nekdo po ceste, a nejpravdepodobneji ty sam, blokujes
moznost otevreni odchoziho datoveho spojeni.
S konfiguraci PF ti ale moc nepomuzu, to sam nepouzivam. Jestli to sam
nezvladas, zkus poslat konfiguraci, to by to tu mohl poradit nekdo jiny.
Ja ji sem za tebe neposlu, jednak nevim, co bysis z ni nepral
zverejnovat, jednak ta, cos poslal me byla necitelne poskozena.
Dan
P.S. V dumpu, kterys mi poslal byly zachyceny v citelne podobne
pristupova jmena a hesla na onen FTP server. Nevim, jestlis vyhodnotil,
ze to nevadi, protoze ve vasem konkretnim pripade mam dostatecne
provereni pro styk s citlivymi udaji nebo proto, zes nevedel, ze tam
takove citlive udaje jsou. Pri pripad, ze to druhe, tak ti to rikam,
abys treba priste neposlal nekomu jinemu neco, ceho bys pozdeji litoval.
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
More information about the Users-l
mailing list