PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : 2 FTP Server auf dem selben Host



quest
03.02.10, 08:38
Mahlzeit zusammen

Ich schildere kurz mein Problem:
Zwecks Webhosting läuft auf meinem Debian Lenny ein FTP Daemon auf Port 21.
Da sich der Server als reiner Webserver bisweilen doch recht langweilt hoste ich mit Hilfe von Gamecreate ein paar Gameserver.
Dieses Gamecreate bringt zum Upload von Maps, Mods, ... einen eigenen FTP Daemon mit der auf 2121 lauscht und nur passive Verbindungen akzeptiert. Ein Einschränken der PortRange lässt er nicht zu.
Jetzt ist nur das Problem, dass die Firewall die passiven Verbindungen zu dem Daemon auf 2121 nicht passieren lässt.
Hinter einem Link im Gamecreate Forum habe ich diese Seite gefunden:
http://archive.cert.uni-stuttgart.de/suse-security/2003/07/msg00321.html
Meine Frage:
Lassen sich diese Regeln so modifizieren bzw. fällt euch was besseres ein um in der Firewall beiden Services die Benutzung der vollen Portrange für Passive FTP zu erlauben?

derRichard
03.02.10, 15:35
hi!

ich denke, dass du nur dem iptables ftp-helfer-modul sagen musst, dass es auch ftp-sessions auf port 2121 verarbeiten soll.
siehe modinfo nf_conntrack_ftp.

hth,
//richard

quest
04.02.10, 18:28
Danke für den Tipp.
Hab versucht herauszubekommen wie ich das Modul am Besten einbinde und ihm erzähle weche Ports es beachten soll, leider erfolglos.
Kannst du mir da helfen?
Zur Info: es ist ein Lenny server mit Bastille firewall.

quest
04.02.10, 18:36
Ich habs jetzt einfach mal drauf ankommen lassen und mit
modprobe nf_conntrack_ftp ports=21,2121
probiert.
Dann noch die Bastille neu gestartet, passt.
Ging ja doch einfacher als gedacht. Danke für den Tipp ^^
Eine Frage zum Abschluss der Geschichte:
Bleibt das geladene Modul so erhalten oder muss ich mir noch ein Skript in den Serverstart reinhängen, das mir beim Systemstart das Modul lädt bevor die Firewall gestartet wird?

derRichard
04.02.10, 18:44
Eine Frage zum Abschluss der Geschichte:
Bleibt das geladene Modul so erhalten oder muss ich mir noch ein Skript in den Serverstart reinhängen, das mir beim Systemstart das Modul lädt bevor die Firewall gestartet wird?
hi!

wie bei allen low-level befehlen unter linux bleibt die einstellung nur bis zum nächsten reboot gültig.
ich würde den parameter in der
modprobe.conf einstellen, das kommt mir am elegantesten vor.

hth,
//richard

quest
04.02.10, 18:52
Das wär dann unter Debian die /etc/modules wo ich in meinem Fall einfach nur nf_conntrack_ftp ports=21,2121 eintrage?
(Bis jetzt steht nur 1 Zeile mit 'loop' drin)

derRichard
04.02.10, 19:02
im detail weiss ich das jetzt nicht für debian.
aber für sowas gibt es ja eine dokumentation. :D

//richard