problema proftpd

salve, da qualche tempo non riusciamo più a far accedere i nostri collaboratori con windows (provvisti di utente e psw personale) al nostro ftp ne in modalità passiva nè attiva... altri studi grafici che usano mac invece riescono a collegarsi...

questa è al config.. ho provato a smanettarci ma non ne sono venuto a capo...

riuscite a darmi una mano?



#
# /etc/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
#

ServerName "Raffaello FTP Server"
ServerType standalone
DeferWelcome off

MultilineRFC2228 on
DefaultServer on
ShowSymlinks on

TimeoutNoTransfer 6000
TimeoutStalled 6000
TimeoutIdle 12000

DisplayLogin welcome.msg
DisplayFirstChdir .message
ListOptions "-l"

DenyFilter \*.*/

MasqueradeAddress *.*.*.* (qua c'è il nostro ip esterno)
PassivePorts 60000 65535

DefaultRoot ~

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd off

# Uncomment this if you would use TLS module:
#TLSEngine on

# Uncomment this if you would use quota module:
#Quotas on

# Uncomment this if you would use ratio module:
#Ratios on

# Port 21 is the standard FTP port.
Port 21

# To prevent DoS attacks, set the maximum number of child processes
# to 30. If you need to allow more than 30 concurrent connections
# at once, simply increase this value. Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances 30

# Set the user and group that the server normally runs at.
User nobody
Group nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022
# Normally, we want files to be overwriteable.
AllowOverwrite on

# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default.
#DelayEngine off

# A basic anonymous configuration, no upload directories.

#
# User ftp
# Group nogroup
# # We want clients to be able to login with "anonymous" as well as "ftp"
# UserAlias anonymous ftp
# # Cosmetic changes, all files belongs to ftp user
# DirFakeUser on ftp
# DirFakeGroup on ftp
#
# RequireValidShell off
#
# # Limit the maximum number of anonymous logins
# MaxClients 10
#
# # We want 'welcome.msg' displayed at login, and '.message' displayed
# # in each newly chdired directory.
# DisplayLogin welcome.msg
# DisplayFirstChdir .message
#
# # Limit WRITE everywhere in the anonymous chroot
#
#
# DenyAll
#
#
#
# # Uncomment this if you're brave.
# #
# # # Umask 022 is a good standard umask to prevent new files and dirs
# # # (second parm) from being group and world writable.
# # Umask 022 022
# #
# # DenyAll
# #
# #
# # AllowAll
# #
# #
#
#

#
# DefaultTransferMode binary
# RootLogin off
# RequireValidShell on
# ShowSymlinks off
# AccessGrantMsg Server di File Raffaello
#
#
# AllowAll
#
#
# Order allow,deny
# AllowUser ftp sftp
# DenyAll
#
#
#

Innanzitutto, secondo me,è necessario chiarire la situazione:
1) Questo problema si è presentato improvvisamente, senza alcuna correlazione con eventuali modifiche al server ftp?
2) Avresti un log dei client ftp (di windows) che falliscono la connessione? Questo aiuterebbe molto.

sono stati cambiati i router da Zyxel a Cisco diversi mesi fa, ma le lamentele stanno giungendo solo da poche settimane

Non riesci ad avere neanche i log del server relativamente a questi tentativi di connessione fallita?

alura... tramite modalità attiva ora funzia... quindi per il problema del passivo mi sa che c'è qualche regola nei router che è saltata e non fanno forwarding verso la macchina interna...

cmq i log


Stato: Connessione a *.*.*.*:21...
Stato: Connessione stabilita, in attesa del messaggio di benvenuto...
Risposta: 220 ProFTPD 1.2.10 Server (Raffaello FTP Server) [192.168.1.5]
Comando: USER *********
Risposta: 331 Password required for *********.
Comando: PASS *********
Risposta: 230 User multimedia logged in.
Stato: Connesso
Stato: Lettura elenco cartelle...
Comando: PWD
Risposta: 257 "/" is current directory.
Comando: TYPE I
Risposta: 200 Type set to I
Comando: PASV
Risposta: 227 Entering Passive Mode (*,*,*,*,150,78).
Comando: LIST
Errore: Tempo scaduto per la connessione
Errore: Non è stato possibile leggere il contenuto della cartella

ftp> open *.*.*.*
Connected to *.*.*.*
220 ProFTPD 1.2.10 Server (Raffaello FTP Server) [192.168.1.5]
500 AUTH not understood
500 AUTH not understood
KERBEROS_V4 rejected as an authentication type
Name (-): *********
331 Password required for *********.
Password: *********
230 User ********* logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (*,*,*,*,150,138).
ftp: connect: No route to host
ftp> passive
Passive mode off.
ftp> ls
200 PORT command successful
150 Opening ASCII mode data connection for file list
drwx------ 3 ********* ********* 4096 Nov 27 2006 Desktop
drwxrwxrwx 2 ********* ********* 4096 Sep 9 21:43 audio bubbles
drwxrwxrwx 2 ********* ********* 4096 Aug 29 17:39 bubble
drwxrwxrwx 2 ********* ********* 4096 Sep 27 16:56 bubble - ok x consegna
226 Transfer complete.
ftp>

Non vorrei dire un'idiozia ma c'è qualcosa che non mi quadra.
La configurazione che hai postato include la direttiva:


Tuttavia entrambi i log mostrano dei tentativi di connessione fuori dal range di porta definito.
Il primo è sulla porta 150*256+78=38478, il secondo sulla 150*256+138=38538 .

oh fico non sapevo che significassero quei 2 numeri

ora faccio controllare il nat...