Hallo,

ich habe ein m.E. skurriles Problem:
Ich habe im Netz einen vsftp-Server laufen.
Da dieser Server auch von Extern erreichbar ist, ist natürlich eine FW aktiv.
Offen ist hier nur der Port 21.
Das Einloggen auf den FTP dienst funzt auch via ftp Commanline oder ähnlichen Tools einwandfrei!
Nur wenn ich in einem beliebigen Browser mich connecten will, kommt nach graumer Zeit ein 425er Timeout!
Schalte ich die FW testhalber ab, dann klappt'sauch mit dem Browser! Warum?

Gruß
Falko

P.S.: Freigeben von Port 20 bringt's auch nicht.

In den Firewall Logs gucken was geblockt wird.

mfg
cane

Verwendet vielleicht Dein FTP-Client PASV und der Browser versucht aktiven Verbindungsaufbau?
So Sachen, wie die Portrange für PASV kannst du in der vsftpd.conf konfigurieren und dementsprechend dann auch in der Firewall freigeben.

Hi,

wenn ich mich (erfolgreich) mittels FTP direkt verbinde gibt es folgende FW Eintrag:

Dec 18 09:05:05 dmz kernel: SFW2-INdmz-ACC-TCP IN=eth0 OUT= MAC=00:26:00:00:00:01:00:15:0c:50:bf:63:08:00 SRC=80.83.88.79 DST=192.168.0.22 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=45411 DF PROTO=TCP SPT=4866 DPT=21 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)

Wenn ich es per Browser (erfolglos) versuche, sagt das Log folgendes:

Dec 18 09:02:33 dmz kernel: SFW2-INdmz-DROP-DEFLT IN=eth0 OUT= MAC=00:26:00:00:00:01:00:15:0c:50:bf:63:08:00 SRC=80.83.88.79 DST=192.168.0.22 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=28685 DF PROTO=TCP SPT=62286 DPT=38977 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Dec 18 09:02:33 dmz kernel: SFW2-INdmz-DROP-DEFLT IN=eth0 OUT= MAC=00:26:00:00:00:01:00:15:0c:50:bf:63:08:00 SRC=80.83.88.79 DST=192.168.0.22 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=28715 DF PROTO=TCP SPT=62287 DPT=57704 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Dec 18 09:02:36 dmz kernel: SFW2-INdmz-DROP-DEFLT IN=eth0 OUT= MAC=00:26:00:00:00:01:00:15:0c:50:bf:63:08:00 SRC=80.83.88.79 DST=192.168.0.22 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=28723 DF PROTO=TCP SPT=62287 DPT=57704 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Dec 18 09:02:42 dmz kernel: SFW2-INdmz-DROP-DEFLT IN=eth0 OUT= MAC=00:26:00:00:00:01:00:15:0c:50:bf:63:08:00 SRC=80.83.88.79 DST=192.168.0.22 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=28724 DF PROTO=TCP SPT=62287 DPT=57704 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405AC01010402)
Gibt mir, ehrlich gesagt, aber immer noch Rätsel auf, warum die FW den Browser blocked...

Any Ideas?

Gruß
ThyMaster

SPT=62286 DPT=38977

Komische Ports - wo ist da der FTP-verbindungsaufbau auf Port 21?

mfg
cane

sicher, dass die einträge was mit deinem versuch zu tun haben? also stimmt SRC etc? du hast wahrscheinlich anonymous deaktiviert, probier mal, das zu aktivieren. falls man ohne login die dateien sehen soll, muss das jedenfalls aktiviert sein. ansonsten kannst du ftp://username@adresse versuchen.

Hier die Loesung (fragt mich nicht wieso, aber es geht jetzt...)

YaST starten und in Modul "System - /etc/sysconfig Editor" gehen
Network -> Firewall -> SuSEfirewall2
In FW_LOAD_MODULES ip_conntrack_ftp ip_nat_ftp eintragen
YaST beenden und ggfs. mittels rcSuSEFirewall restsrt die FW neustarten

Dies wird benoetigt um FTP durch eine NAT Firewall zu kriegen.

Gruss
ThyMaster