RC4 und ftp über proxy

nooby · Post by *nooby » 2007-05-07, 13:04 UTC

moin,

ich benutze einen umgebauten hpbnc als ftp-proxy. das ding braucht username/password und danach open ip:port. nix ungewöhnliches eigentlich, bei ffxp ist das typ 6. mit rc1 ging das auch noch. hab jetzt die rc4 drauf und es funktioniert nicht mehr.

Connect to: (07.05.2007 14:59:48)
hostname=11.22.33.44:55555
username=ich
startdir=
Firewall=66.77.88.99:1234
Firewall user name=bncadm
USER bncusername
220 Welcome to blabla.
OPEN 11.22.33.44:55555
331 User name okay, need password.
USER ich

anstelle des passwortes schickt er den username vom ftp und das open command kommt auch zu früh (so wie es aussieht).

bin ich zu blöd das richtig einzustellen oder ist das ein bug?

Post by *ghisler(Author) » 2007-05-07, 16:27 UTC

Beim FTP-Login gibt es KEINEN Unterschied zwischen rc1 und rc4. Fuer mich sieht es so aus, als ob die Firewall eine falsche Antwort geben würde: Die Antwort
331 User name okay, need password.
sollte eigentlich nach
USER bncusername
kommen und nicht die Antwort 220 Welcome to blabla...

nooby · Post by *nooby » 2007-05-07, 16:47 UTC

bin grad etwas verwirrt. war der meinung es hätte mit der rc1 funktioniert. hatte die eben nochmal installiert, ging aber auch nicht.

das problem ist das der anstelle des usernamens den OPEN command sendet und als passwort den benutzernamen des ftp's zu dem ich eigentlich connecten will. ich war mit dem 7er schonmal auf dem ftp, irgendwie ging das. frag mich grad ob ich wirklich zu blöd sein sollte das richtig einzustellen

[L] 220 Welcome to the ****.
[L] USER username_des_proxy
[L] 331 User name okay, need password.
[L] PASS (hidden)
[L] 230 User logged in, proceed.
[L] OPEN ip_des_ftp_zu_dem_ich_connecten_will:port

so sieht das bei ffxp aus.

was muss ich da einstellen das es funktioniert? wie gesagt, es ging schonmal und ich habe nichts wissentlich danach verändert ausser das ich die rc4 installiert hab.

Post by *ghisler(Author) » 2007-05-07, 17:01 UTC

Wie erwartet sendet der Server hier 220 Welcome VOR dem USER-Befehl - bei TC ist es aber umgekehrt. Bei allen von mir getesteten Servern senden diese das 220 Welcome zuerst. Wieso das bei Ihrem Server nicht mehr so ist? Kein Ahnung.

nooby · Post by *nooby » 2007-05-07, 17:17 UTC

wenn ich das so richtig verstanden habe sendet tc den user vor dem welcome und anstelle des usernamens dann das open kommando.

ich kann ihnen gerne einen testzugang einrichten.

nooby · Post by *nooby » 2007-05-07, 17:21 UTC

ich habs

) naja, nicht ganz. der fehler tritt nur auf wenn ich ihm sage das er mit ssl/tls verbinden soll

Post by *ghisler(Author) » 2007-05-07, 19:10 UTC

Ah, verstehe.

Total Commander wartet bei einer SSL-Verbindung exakt 5 Sekunden auf eine Willkommensmeldung des Servers in der Form
220 Welcome ...

Bleibt diese aus, dann geht TC davon aus, dass die SSL-Verbindung ab dem ersten Zeichen verschlüsselt sein soll. Dies ist der sogenannte implizite SSL-Modus. Leider wird dieser Modus z.Zt. nicht mit Firewalls zusammen unterstützt, deshalb geht die Firewall-Anmeldung schief. Mir ist auch keine Firewall bekannt, welche implizites SSL unterstützt.

Ich werde die Erkennung von implizitem SSL deaktivieren, falls eine Firewall (ausser Socks oder HTTP) eingestellt ist. Explizites SSL, also das Senden von AUTH TLS oder AUTH SSL, wird aber weiterhin gehen.

Frag sich nur, wieso Ihre Firewall sich über 5 Sekunden Zeit lässt für die Antwort...

nooby · Post by *nooby » 2007-05-07, 19:21 UTC

das ist keine "firewall". das ding ist einfach nur ein umgecodeter hpbnc der einen login erwartet und wenn in der config keine feste zielip eingestellt ist kann man ihm die ip über das open command geben. schwer zu erklären

es funktioniert auf jeden fall mit jedem mit bekannten ftp-programm das ftp über proxy unterstützt. der connect an sich dauert mit ffxp unter 2 sekunden. keine ahnung worauf tc wartet und die anderen anscheinend nicht. wie ich schon sagte kann ich ihnen bei interesse einen login zum testen geben.

Post by *ghisler(Author) » 2007-05-07, 19:38 UTC

Gerne, bitte per e-mail an beta at ghisler dot com! Ich kann dann gleich testen, ob es damit funktioniert.

nooby · Post by *nooby » 2007-05-07, 19:50 UTC

mail ist grad raus. viel spaß beim testen

Post by *ghisler(Author) » 2007-05-08, 15:47 UTC

Danke, doch was genau muss ich in Total Commander eintragen für die Verbindung?

nooby · Post by *nooby » 2007-05-08, 16:03 UTC

funktioniert mit jeglichem ftp (hinter dem proxy). den proxy mit der option Sende Kommando OPEN eintragen. benutzername/kennwort siehe email. sofern ein ident server aktiv ist funktioniert der connect auch mit TC. ohne den ident und aktiviertem ssl gibt es den beschriebenen fehler.

Post by *ghisler(Author) » 2007-05-08, 16:18 UTC

OK, offenbar ist der identd wirklich das Problem: Der Server scheint direkt beim Verbindungsaufbau zu versuchen, einen Ident-Server auf dem Clientrechner zu kontaktieren. Nach 10 Sekunden ohne Antwort sendet er erst die "220 Welcome"-Meldung. Dann ist es aber schon zu spät, weil Total Commander bereits mit implizitem SSL versucht.

Ich habe das nun geändert, bei "normalen" Proxies ist implizites SSL nun deaktiviert.

nooby · Post by *nooby » 2007-05-08, 16:33 UTC

wie wärs mit einem eingebauten ident-server?

ganz so abwegig ist die idee garnicht. es gibt viele ftp-programme die sowas haben.

im grunde kann man sich aber auch damit behelfen das man einen identd laufen lässt.

Post by *ghisler(Author) » 2007-05-09, 10:35 UTC

wie wärs mit einem eingebauten ident-server?

Habe ich mir auch schon überlegt, doch spricht einiges dagegen:
1. Viele Firewalls zeigen einen Alarm, wenn ein Programm auf irgend einem Port auf Antworten wartet
2. Heute übliche NAT-Router lassen identd gar nicht erst durch