PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : FTP, Firewall, Verzeichnis-Listing - Problem



bony
10.08.09, 21:26
Hallo,

SuSE 11.1
PureFTPd

Habe irgendwie ein Problem, die Firewall richtig zu konfigurieren (?). D.h. ich bekomme eine Verbundung zum FTP-Server, Login klappt korrekt, aber der Client bleibt beim Verzeichnislisting hängen.
Wenn ich die Firewall abschalte, funktionieren FTP-Verbindungen problemlos.

"pureftpd" ist in der Firewallkonfiguration über YAST als Dienst erlaubt. Auch die explizite Angabe von Port 21 als offenen Port funktioniert nicht.
Probiert habe ich auch Zuweisung eines passiven Portbereichs.

Kann mir jemand bei der Suche nach der Ursache auf die Sprünge helfen?

P.S.:
Vor einem Upgrade von 10.x auf 11.1 funktionierte FTP problemlos.

TomTobin
10.08.09, 22:02
braucht man für ftp nicht zwei Ports?

ftp (21) und ftp-Data (20) ?

Gruß

Tom

MiGo
11.08.09, 14:47
braucht man für ftp nicht zwei Ports?
Ja braucht man. Wenn ich mich recht erinnere brauchst du auch das ip_conntrack_ftp-Kernelmodul, wenn du den FTP aktiv betreiben willst.

bony
15.08.09, 12:04
Es ändert sich auch nix, wenn ich den Port 20 ausdrücklich dazu nehme.

Leider kenne ich mich mit IP-Tables nicht so sonderlich gut aus. Ich weiß, nicht gerade die günstigsten Voraussetzungen, um Dienste an einem Server anzubieten, aber ...
Vielleicht hilft mir ja trotzdem jemand auf die Sprünge. ;)

Webmin sagt mir folgendes:

Webmin has detected 2 IPtables firewall rules currently in use, which are not recorded in the save file /etc/webmin/firewall/iptables.save. These rules were probably setup from a script, which this module does not know how to read and edit.
Hat das möglicherweise was zu bedeuten?

Und zeigt folgende Konfiguration an:

# Generated by iptables-save v1.4.2-rc1 on Sat Aug 15 11:57:12 2009
*nat
:PREROUTING ACCEPT [40:7087]
:POSTROUTING ACCEPT [50:3862]
:OUTPUT ACCEPT [50:3862]
COMMIT
# Completed on Sat Aug 15 11:57:12 2009
# Generated by iptables-save v1.4.2-rc1 on Sat Aug 15 11:57:12 2009
*mangle
:PREROUTING ACCEPT [61178:8188264]
:INPUT ACCEPT [61155:8182629]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [61108:8168496]
:POSTROUTING ACCEPT [61112:8169492]
COMMIT
# Completed on Sat Aug 15 11:57:12 2009
# Generated by iptables-save v1.4.2-rc1 on Sat Aug 15 11:57:12 2009
*raw
:PREROUTING ACCEPT [80256:12380058]
:OUTPUT ACCEPT [77247:16290420]
-A PREROUTING -i lo -j NOTRACK
-A OUTPUT -o lo -j NOTRACK
COMMIT
# Completed on Sat Aug 15 11:57:12 2009
# Generated by iptables-save v1.4.2-rc1 on Sat Aug 15 11:57:12 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
-A INPUT -i eth0 -j input_int
-A INPUT -i ra0 -j input_ext
-A INPUT -i wmaster0 -j input_ext
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-OUT-ERROR " --log-tcp-options --log-ip-options
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 20 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 20 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 65000:65030 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 65000:65030 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 80 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 443 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 3306 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 3306 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 21 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 30000:30100 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 30000:30100 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 139 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 139 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 445 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 445 -j ACCEPT
-A input_ext -p udp -m udp --dport 80 -j ACCEPT
-A input_ext -p udp -m udp --dport 443 -j ACCEPT
-A input_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-INext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -j ACCEPT
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Sat Aug 15 11:57:12 2009

HirschHeisseIch
15.08.09, 12:08
Typisches passive FTP und Firewall-Problem... Passive FTP braucht eine Port-Range im unprivilegierten Bereich. Contrack-FTP ist da schon der richtige Lösungsansatz...

Stormbringer
15.08.09, 12:12
Diese Angaben sind vorhanden?
http://www.linuxforen.de/forums/showpost.php?p=1716956&postcount=8

bony
15.08.09, 12:34
Danke! Nachdem ich jetzt weiß, wo ich "FW_LOAD_MODULES="ip_conntrack_ftp ip_nat_ftp"" konfigurieren musste, funktioniert die Sache wieder.