Liberar acesso a um servidor FTP no UFW [RESOLVIDO]

Alexandreaf
(usa Debian)

Enviado em 18/08/2021 - 18:51h

Primeiramente, não tenho experiência nessa área.

Estou com um problema estranho. Instalei um servidor FTP em meu smartphone e, com o UFW desativado, funciona nomalmente. Mas com o UFW ativo, não funciona. Consigo logar no servidor, mas quando peço para que os arquivos sejam listados, não são e fica travado, como se o comando tivesse sido bloqueado o retorno. Abaixo a mensagem que aparece (não sai dessa mensagem):

200 Command PORT okay.
150 File status okay; about to open data connection.

Já tem tei liberar as portas, no caso, 2121 (tcp, udp, IPv4 e IPv6) e também as portas passivas, no caso a 60000. Mas ainda não consegui. Repito, sem o firewall funciona, logo, penso ser algum bloqueio feito pelo firewall.

Alguém sabe o que é?

Obrigado.

Buckminster
(usa Debian)

Enviado em 18/08/2021 - 19:34h

Tem mais alguma coisa acima dessas duas linhas na mensagem?

Sugestão simplória, já executou:
sudo ufw allow ftp


________________________________________________
Sanou tua dúvida, resolveu teu problema?
Então marque como "resolvido" e escolha a melhor resposta!
Ou então execute:

# chown -R root:root /

# mount -o remount,rw /

# reboot



e veja o sistema derreter na sua frente. 

Alexandreaf
(usa Debian)

Enviado em 19/08/2021 - 08:35h

Obrigado.

Já tinha tentado, mas não tinha botado muita fé, pois suponho que o "sudo ufw allow ftp" abra a porta 21, que é a padrão para ftp. Os servidores ftp para smartphones não aceitam a 21 ou uma porta XX. No caso, o servidor que estou usando no smartphone usa a porta 2121, que posso trocar, mas sempre alguma coisa como XXYY. Será que o "ufw allow ftp" faz algo diferente, libera alguma coisa a mais do que o "sudo ufw allow 2121/tcp" e "sudo ufw allow 2121/udp" não liberam?

Buckminster
(usa Debian)

Enviado em 19/08/2021 - 15:14h

Sim, ufw allow ftp libera a porta padrão 21 para conexões vindas de qualquer lugar.
Faça o seguinte:
sudo ufw status
ou
sudo ufw status verbose <<< esse dará informações mais detalhadas das regras, do que está liberado ou não.

Caso não aparecer nada com os comandos acima, faça:
sudo ufw logging on <<< para habilitar os logs.

Se estiver registrando, verifique se em /var/log há arquivos começando com ufw. Por exemplo, sudo ls /var/log/ufw*
ou
sudo dmesg | grep '\[UFW'

O que eu posso sugerir é que, de repente, pela mensagem apresentada está aberta ou a saída ou a entrada ou está faltando liberar alguma coisa (óbvio).
Veja o status da mensagem:
200 Command okay. (Informational)

150 File status okay; about to open data connection. FTP uses two ports: 21 for sending commands, and 20 for sending data. A status code of 150 indicates that the server is about to open a new connection on port 20 to send some data.

150 Status do arquivo ok; prestes a abrir a conexão de dados. O FTP usa duas portas: 21 para enviar comandos e 20 para enviar dados. Um código de status 150 indica que o servidor está prestes a abrir uma nova conexão na porta 20 para enviar alguns dados.

Captou?
E portas passivas libere sempre um intervalo, pode ser 40000-50000, ou da sua escolha, mas tem de ser portas altas.

Deixo aqui para você:
https://kb.globalscape.com/Knowledgebase/10142/FTP-Status-and-Error-Codes


________________________________________________
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta!
Ou então execute:

# chown -R root:root /

# mount -o remount,rw /

# reboot



e veja o sistema derreter na sua frente. 

Alexandreaf
(usa Debian)

Enviado em 19/08/2021 - 15:51h

Não consegui ainda, mas já me ajudou bastante com todas essas dicas! Muito obrigado.

Log:

[ 249.839528] [UFW BLOCK] IN=wlp8s0 OUT= MAC=80:86:f2:f7:9b:2b:6a:59:1a:67:33:e9:08:00 SRC=192.168.1.66 DST=192.168.1.69 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4666 DF PROTO=TCP SPT=35965 DPT=41845 WINDOW=65535 RES=0x00 SYN URGP=0

Vou pesquisar! Valeu!!!!

Buckminster
(usa Debian)

Enviado em 19/08/2021 - 18:00h

Se isso é tudo que saiu no teu log, então tem um bloqueio para a placa de rede sem fio wlp8s0 com o IP de origem 192.168.1.66 para o IP de destino 192.168.1.69 no protocolo TFP com a porta de origem 35965 e a porta de destino 41845.

TOS , para Tipo de serviço,
DST é o ip de destino,
SRC é IP de origem
TTL é hora de viver, um pequeno contador diminuído toda vez que um pacote é passado por outro roteador (por isso, se houver um loop, o pacote se destrói uma vez para 0)
O DF é um bit "não fragmentar", solicitando que o pacote não seja fragmentado quando enviado
PROTO é o protocolo (principalmente TCP e UDP)
SPT é a porta de origem
DPT é a porta de destino

Veja:
https://support.atomicorp.com/hc/en-us/articles/360000658187-What-do-the-fields-in-the-firewall-logs...
Caso não saiba inglês, abra no Chrome e clique em "Traduzir página".

________________________________________________
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta!
Ou então execute:

# chown -R root:root /

# mount -o remount,rw /

# reboot



e veja o sistema derreter na sua frente. 

Alexandreaf
(usa Debian)

Enviado em 19/08/2021 - 19:31h

O log foi bem grande, é que só postei a mensagem que imaginava ter a ver, que tinha o IP do celular (192.168.1.66). Vou tentar descobrir.

Obrigado.

Buckminster
(usa Debian)

Enviado em 19/08/2021 - 19:44h

Ok. Agora que tu sabe como "ler" o log, analisa com calma que tu descobrirá alguma coisa relativa ao teu problema.
Veja bem, a porta de origem é interna do sistema e a porta de destino é a porta pela qual sairá a conexão.
O motivo pelo qual tem esses números de porta aparentemente aleatórios é que o sistema operacional precisa de uma maneira de identificar cada conexão diferente que sai. Portanto, o sistema operacional atribui um número de porta aleatório acima de 1024 (ou algum número arbitrário geralmente acima de 10000) para cada conexão de saída feita pelo software em seu PC.
No log tem a SRC=35965, mas isso não significa que tenha que liberar ela. E tem DPT=41845 e também não significa que tenha que liberar ela.
Geralmente mexa apenas nas portas de 0 a 1024, ou, caso tu quiser, depois de se inteirar mais de Firewall, aí pode bloquear e liberar portas maiores do que 1024 e/ou direcionar de uma porta para outra.

________________________________________________
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta!
Ou então execute:

# chown -R root:root /

# mount -o remount,rw /

# reboot



e veja o sistema derreter na sua frente. 

Alexandreaf
(usa Debian)

Enviado em 19/08/2021 - 21:05h

Acho que não é o meio mais seguro, mas por enquanto consegui assim:

sudo ufw allow from 192.168.1.66 proto tcp to any port 1:65000

O IP 192.168.1.66 é o IP do meu celular. Tentei descobri a porta, mas parece que fica mudando.

Obrigado.

Buckminster
(usa Debian)

Enviado em 19/08/2021 - 21:22h

Deixe assim:
sudo ufw allow from 192.168.1.66 proto tcp to any port 10000:65000

e veja se bloqueia de novo.
Caso não bloquear, deixe assim que fica bom.
Caso bloquear daí veremos uma regra adicional a essa.

"Tentei descobri a porta, mas parece que fica mudando."
Sim, como falei antes, essas portas maiores do que 1025 são escolhidas aleatoriamente pelo sistema, com exceção das portas 0 até 1024 que são portas reservadas.

________________________________________________
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta!
Ou então execute:

# chown -R root:root /

# mount -o remount,rw /

# reboot



e veja o sistema derreter na sua frente.