FTP Mysterium V7R1

[EFueloep]

Code:

 
500 Bad passive command from server
Es kann keine aktive Datenverbindung zum Server hergestellt werden.
 Ursachencode 1.
Verwendung von PASV ist für diese Server-Sitzung inaktiviert.

Ab jetzt wird für jede Datei einen Portbefehl abgesetzt welcher auf die Maschine selbst zeigt

Code:

 
PORT 192,168,1,9,151,167

Das macht für mich nun wirklich keinen Sinn.

Obwohl dies so ist, hat der wenigsten 24 Dateien geladen. Mit Sicherheit nur weil es sich um ein AS/400 handelt und nicht um einen Windowsserver!

Doch das macht sehr viel Sinn.
Er schreibt ja, dass ein "Bad passive command from server" empfangen worden ist und er deshalb auf active FTP umschaltet ("Verwendung von PASV ist für diese Server-Sitzung inaktiviert.").

Und die PORT Befehle sind active FTP data-connections und bei active FTP wird ein TCP Port beim Client eröffnet.
Dies ist ja der Unterschied zwischen Active FTP (FTP Client fungiert beim Data Transfer als Server) und Passive FTP (FTP Server ist immer Server).

Bei Deinem Windows FTP Server wird ebenfalls auf active FTP umgeschalten, nur wird dies wahrscheinlich von einer Firewall nicht erlaubt und daher funktioniert es dort nicht.

Wenn das Problem auch mit einem AS400 FTP Server nachgestellt werden kann würde ich ein Problem bei IBM melden. Denn dann liegt wohl doch ein Fehler im FTP Client vor.

[wolfgang.w]

@EFueloep
Mit "es macht für mich keinen Sinn" habe ich nicht den Port Befehl an und für sich gemeint, sondern dass der Port Befehl auf die systemeigene IP-Adresse zeigt! Das macht ja wirklich keinen Sinn!

[Fuerchau]

Wie oben beschrieben macht es bei ActiveFTP doch Sinn die eigene Adresse zu verwenden, da ja eben der Client nun die Daten vom Server selber abholen will.

Aber da solltest du nun wirklich einen IBM-Fehler melden.

[Anton Gombkötö]

Gute Erklärung: http://slacksite.com/other/ftp.html#passive

Hier steht es viel kürzer, aber dafür in Deutsch: File Transfer Protocol

Noch kürzer: Das macht unglaublich viel Sinn, neben "PORT" die Adresse des Servers zu sehen. Denn es ist der SERVER, der hier dem Client mitteilt, zu welcher Adresse und zu welchem Port er sich verbinden soll. (wie schon auf der ersten Seite dieses threads erklärt.)
Und das ist aller Wahrscheinlichkeit nach eben derselbe Server.
(Wahrscheinlich hat man darum die IP-Adresse beim Extended passive auch wieder rausgeworfen. )

[BenderD]

[Zerberus77]

Hallo Wolfgang,

jetzt weiß ich wieder, was ich heute machen wollte. *gg*

Werd mir das morgen mal auf unserem System ansehen. PTFGRP sind halbwegs aktuell?

MFG Zerberus

[Zerberus77]

Hallo Wolfgang,

mit extern, meinst du da ausserhalb eures Netzwerkes?
Wenn ja, hast du auch eine Maschine im selben Netzwerk?
Wenn ja, bitte mit der mal testen.

MFG Zerberus

[wolfgang.w]

Hallo Zerberus

So, bin erst jetzt dazu gekommen den internen Test noch durchzuführen. Ich habe also meine 25 .xml Dateien auf das alte System kopiert und das Script umgeschrieben damit die Daten von dort abgeholt werden.

KEINE FEHLERMELDUNGEN - KEINE PROBLEME!

Leider kann ich dieses Ergebnis jetzt nicht deuten. Was bedeutet das jetzt? Liegt es wirklich nur am Durchsatz von intern/extern? An der Firewall kann es nicht liegen, da beide Systeme nebeneinanderstehen und in die gleichen Kanäle greifen (Switch, Hausverkablung, Firewall). Das neue System hat die gleiche IP-Adresse und den gleichen Namen wie zuvor das alte System hatte. Das alte System wurde entsprechend umnummeriert und umbenannt. Sogar der physische Standort wurde ausgetauscht, wie man das eben so macht mit einem neuen System.

Fazit:
- intern läuft problemlos
- extern erzeugt Fehler (mittlerweile 2x WinServer und 1x AS/400 getestet )

[Zerberus77]

Hallo Wolfgang,

also, folgendes wäre der nächste Schritt:

*) TRCCNN auf der iSeries
*) TRCCNN oder WireShark Trace auf dem FTP Server. Ich würde die externe iSeries bevorzugen *gg*

Intern würd ich beim TRCCNN die IP Adresse des FTP Servers in das Feld 'Ferne Adresse' eintragen und bei der extern iSeries würd ich nicht filtern (ausser du kannst die interne iSeries wirklich identifizieren). IP Adresse der internen iSeries wird nicht gehen, da ich davon ausgehe, dass die Adresse genated wird.

Die neuen Träce würd ich mir dann wieder ansehen.

P.S.: Nach meiner Erfahrung, tippe ich auf die FireWall. Mich würde es nicht wundern, wenn die Fehlermeldung gar nicht vom FTP Server, sondern von der FireWall kommt. Klingt komisch, kann aber durchaus sein. Interessant wäre, mal die Logs der FireWall zu durchforsten, ob sich da irgendwelche Hinweise finden.

P.P.S.: Wenn im 'alten' System wirklich eine 100Mbit Karte verwendet wurde und jetzt mit 1Gbit gearbeitet wird, wäre es einen Versuch wert, entweder in der LIND und auf dem Switch die Geschwindigkeit auf 100/*FULL fest einzutragen. Alternativ könntest du eine andere Karte/ ein anderes Port an der Netzwerkkarte verwenden und via Routingeintrag dieses andere Port für den FTP (für Testzwecke) verwenden.

Habt ihr eine eigene Netzwerkkarte, oder Verwendet ihr den HEA?

MFG Zerberus

[Fuerchau]

Firewalls dürfen keine Meldungen erzeugen sondern blocken nur.
Käme eine Meldung wüsste man ja, dass die Adresse/der Port existiert um weitere Angriffe zu initiieren.
Das ist wie bei den Mails, die eine 1-Punkt-Bilddatei enthalten um beim Download des Bildes die Gültigkeit zu verifizieren.

Aber zum Thema:
Ich würde da eine Fehlermeldung an IBM abgeben, da es ja mit dem vorherigen Release reibungslos funktioniert.
Eine Firewall kann man da ausschließen.

[wolfgang.w]

Hallo Zerberus

Besten Dank für Deine Antwort.

Es wird der HEA verwendet (Typ #576F 'PCIe2 1GbE Adapter 4Port'). Interessanterweise steht in der WRKLIND Beschreibung der Ethernet Leitungsbeschreibung 100M/*FULL als aktuelle Übertragungsgeschwindigkeit. Wahrscheinlich ist das verwendete Kabel noch ein Kat5 (kann's nicht überprüfen, ich bin nicht vor Ort). In der ursprünglichen Konfig. steht bei Übertragungsgeschwindigkeit *AUTO drin.

Den TRACE werde ich dir senden sobald ich ihn gemacht habe. Könnte allerdings eins/zwei Tage dauern.

Die Firewall wird nicht von mir betreut. Ich werde das mal in die Wege leiten, dass das Log gespeichert wird.

[wolfgang.w]

@Fuerchau

Ich würde da eine Fehlermeldung an IBM abgeben

Wie und wo würdest du das machen?