Hallo,

hab Problem.


Bekomme immer, wenn ich mich über meinen Router, also über meine extrene Inet ip connecte auf den FTP.

- Hab mehrere ausprobier. unteranderem wu-ftpd, proftpd! -

Ne message: '425 Can't build data connection: Connection refused.'

Passiv zugreifen geht auch nich.

Hab auch schon 'modprobe nat_ip_ftp' oder wie das nochmal heißt gemacht :/

geht trotzdem nich. einer ne lösung.

Der router ist ein Allnet router und port 21 wird durchgeschleift.


gruß sobdog

der port 21 reicht nicht. Du musst noch den port 20 (ftp-data) freischalten.

Für passiven FTP können alle ports ab 1023 verwendet werden.

huhu,

hab nun mal alle ports durchgeroutet (20, 21 und 1023-1100 - alle tcp).

Jedoch geht weder aktiv noch passiv. Hab mal einmal Log vom Passiv login und einmal aktiv login hier:

1.) AKTIV!
~~~~~~~~

Connecting to sobdog.de
Connected to sobdog.de Port 21
220 Gibson FTP server (Version wu-2.6.2(1) Sun Mar 10 20:00:40 GMT 2002) ready.
USER xxx
331 Password required for xxx.
PASS (hidden)
230 User xxx logged in.
SYST
215 UNIX Type: L8
REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
CWD /home/xxx/
250 CWD command successful.
PWD
257 "/home/xxx" is current directory.
TYPE A
200 Type set to A.
PORT 192,168,1,4,5,246
500 Illegal PORT Command
LIST
425 Can't build data connection: Connection refused.
QUIT
221-You have transferred 0 bytes in 0 files.
221-Total traffic for this session was 609 bytes in 0 transfers.
221-Thank you for using the FTP service on Gibson.
221 Goodbye.
Logged off: sobdog.de

2.) PASSIV
~~~~~~~~~

Connecting to sobdog.de
Connected to sobdog.de Port 21
220 Gibson FTP server (Version wu-2.6.2(1) Sun Mar 10 20:00:40 GMT 2002) ready.
USER xxx
331 Password required for xxx.
PASS (hidden)
230 User xxx logged in.
SYST
215 UNIX Type: L8
REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
PWD
257 "/home/xxx" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (192,168,1,5,237,47)
LIST
425 Possible PASV port theft, cannot open data connection.
QUIT
221-You have transferred 0 bytes in 0 files.
221-Total traffic for this session was 573 bytes in 0 transfers.
221-Thank you for using the FTP service on Gibson.
221 Goodbye.
Logged off: sobdog.de


---

thx sobdog

heee leute...

das is sehr wichtig :(((

brauch hilfe :(

PORT 192,168,1,4,5,246
500 Illegal PORT Command
LIST
425 Can't build data connection: Connection refused.


PASV
227 Entering Passive Mode (192,168,1,5,237,47)

Routest Du hier etwa Traffic von privaten IP Adressen ins Internet? Wie sieht Deine SNAT/Masquerading Konfiguration aus (iptables-save)? ip_nat_ftp wirst Du auch brauchen.

Hallo...

also ich greife mit meiner ip, die ich vom provider habe auf den ftp zu..

dabei kommt diese meldung..

in meinem router habe ich die ports 20+21 auf die server (lan) ip geroutet...

192.168.1.5

Eine NAT Konfiguration oder so habe ich garnicht...

und wenn ich 'modprobe ip_nat_ftp' mache kommt..

'Can#t locate module ip_nat_ftp

:(

$ host sobdog.de
sobdog.de has address 80.142.176.126
$ host 80.142.176.126
126.176.142.80.in-addr.arpa domain name pointer p508EB07E.dip.t-dialin.net.


also ich greife mit meiner ip, die ich vom provider habe auf den ftp zu..
Ich kapiers nicht. Von wo aus? Eine lokale IP Adresse wurde doch im FTP verwendet, sowohl im active, als auch im passive mode.

Ich mach hier in den Foren erstmal ne Pause. Leute, ich habt heute wirklich wenig verständliche Problembeschreibungen. Das ist heute ne Qual.

Ist das so schwer, in ein paar Zeilen aufzuzählen, welche Rechner beteiligt sind, welche IP Adressen sie haben und in welchem Netz sie sich befinden? Wie soll man euch denn helfen, wenn man keinen Einblick in euer Problemszenario hat?

:ugly:

sorry..

also vom rechner, wo von ich drauf zugegriffen habe, der hat die lanip 192.168.1.4 !
der server hat die ip 192.168.1.5 !

Das ganze mal von nem aussenstehenden:

Aktiv:
~~~~~~

Resolving host name sobdog.de...

Connecting to (sobdog.de).

Connected to (sobdog.de) -> IP: 80.142.176.126 PORT: 21.

Socket connected waiting for login sequence.

220 ProFTPD 1.2.5rc1 Server (sobdog's FTP-Server [ftp.sobdog.de]) [Gibson]

USER xxx

331 Password required for xxx.

PASS (hidden)

230 User xxx logged in.

SYST

215 UNIX Type: L8

FEAT

500 FEAT not understood.

REST 100

350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.

REST 0

350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.

PWD

257 "/home/xxx" is current directory.

TYPE A

200 Type set to A.

PORT 192,168,0,5,11,244

500 Illegal PORT command.

CWD /home

250 CWD command successful.

PWD

257 "/home" is current directory.

PORT 192,168,0,5,11,245

500 Illegal PORT command.

CWD /home/xxx

250 CWD command successful.

PWD

257 "/home/xxx" is current directory.

PORT 192,168,0,5,11,246

500 Illegal PORT command.

PORT 192,168,0,5,11,247

500 Illegal PORT command.

~~~

Passiv:
~~~~~~

Resolving host name sobdog.de...

Connecting to (sobdog.de).

Connected to (sobdog.de) -> IP: 80.142.176.126 PORT: 21.

Socket connected waiting for login sequence.

220 ProFTPD 1.2.5rc1 Server (sobdog's FTP-Server [ftp.sobdog.de]) [Gibson]

USER xxx

331 Password required for xxx.

PASS (hidden)

230 User xxx logged in.

SYST

215 UNIX Type: L8

FEAT

500 FEAT not understood.

REST 100

350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.

REST 0

350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.

PWD

257 "/home/xxx" is current directory.

TYPE A

200 Type set to A.

PASV

227 Entering Passive Mode (192,168,1,5,19,16).

Opening data connection IP: 192.168.1.5 PORT: 4880.

A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.


~~~

thx for help

also vom rechner, wo von ich drauf zugegriffen habe, der hat die lanip 192.168.1.4 !
Das geht nicht aus Deinem Log hervor, denn dort erscheint für den "active mode" die IP "PORT 192,168,0,5,11,245", nicht 192.168.1.4.


der server hat die ip 192.168.1.5 !

Ja, das entnahm ich Deinem ersten Log, weil diese IP im passive mode erschien. Für Zugriffe von außen muß er aber seine externe IP kennen oder Du mußt SNAT und FTP NAT durchführen.


Connected to (sobdog.de) -> IP: 80.142.176.126 PORT: 21.

Wie Du hier unschwer erkennen kannst, müßte der FTP Server wissen, daß er diese IP Adresse 80.142.176.126 hat. Er geht aber davon aus, daß er 192.168.1.5 hat, denn die gibt er bei PASV zusammen mit seinem unprivilegierten Port zurück. Diese privaten IPs haben nichts im Internet zu suchen. Protokollspezifisches ip_nat_ftp würde die 192.168.1.5 im FT-Protokol gegen Deine externe IP austauschen.


227 Entering Passive Mode (192,168,1,5,19,16).

Opening data connection IP: 192.168.1.5 PORT: 4880.

A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

Hier sollte Dein FTP Client eine Verbindung zu 192.168.1.5:4880 aufbauen. Du kannst jeweils überprüfen, ob der Client durchkommt (Firewall Log? Routing?) und ob der FTP Server sich zu der Zeit an diesen Port gebunden hat (socklist, netstat).

huhu..

also.. ich kenn mich mit linux nich so dolle aus :((

Was genau soll ich nun tun, damit es funktioniert?

wäre nett :)

Hi,

es hilft dir nicht nichts wenn du nur das ftp-nat Modul lädst, dir fehlt anscheinend das MASQERADING dazu.

Ahja, und "alle ab 1023" heisst nicht "alle von 1023 bis 1100" sondern "alle von 1023 bis 65535". Wäre aber nicht so geschickt alle aufzumachen.

poste bitte mal eine genau Beschreibung von deinem Netz. mit IP Adressen und was welcher Teil vom Netz genau macht.

Ciao, Bernie

Hallo...

also ich habe einen Allnet Hardware Router (mit integriertem Switch)!

An diesem Switch hängen 6 Rechner..

wobei nur 4 eine festgelegte IP haben..

192.168.1.2 - 192.168.1.5

der server is 192.168.1.5

der router 192.168.1.1

Gruß sob

PS:

Hab grade im Ircnet im chan #debian.de gefragt.. da meint jemand, dass es nicht geht...
Aber ich hatte schonmal einen ftp server auf einem windows rechner hinter dem router laufen.. das ging auch...

übrigens hat der router auch eine 'DMZ (Demilitarized Zone) Host' FunktioN:

This feature will open all in/out accesses for one LAN computer, especially for Internet game application. Besides, this is useful for machines that host TCP/IP services that should be fully exposed to the public network. Please enter one LAN IP Address below. Activate this feature only when required


Aber wenn ich die an mache geht auch nicht.. :(

Schade, daß Du nicht richtig liest, was Dir hier bislang mitgeteilt wurde. Ebenfalls schade, daß Du auf Fragen nur dürftig antwortest.


also ich habe einen Allnet Hardware Router (mit integriertem Switch)!

An diesem Switch hängen 6 Rechner..

wobei nur 4 eine festgelegte IP haben..

192.168.1.2 - 192.168.1.5

der server is 192.168.1.5

der router 192.168.1.1

Was unternimmt der Router dagegen, daß mit den privaten IP Adressen 192.168.*.* versehener Traffic aus dem LAN nicht ins Internet gelangt? Führt der SNAT durch, damit Rechner im Internet den Weg zurückfinden? Wenn nicht, mußt Du SNAT (IP Masquerading) auf Deinem Linux Server selbst machen. Das hatten wir aber schon einige Postings früher erwähnt. Es gibt gerade ein paar aktuelle Threads dazu im Forum. Suche zahlt sich aus.

>Wenn nicht, mußt Du SNAT (IP Masquerading) auf Deinem Linux Server selbst machen.

schön und gut.. nur wie mach ich das? :(

Im Forum suchen (es gab da gerade einen Monster-Thread, der eigentlich zu Ports 110 und 25 gestartet wurde, sich dann aber um MASQ drehte), oder Dich auf http://www.netfilter.org einlesen.

Sowas läßt sich in Foren mangels guter Mitarbeiter der Hilfesuchenden meist nur umständlich lösen. Bisher kennen wir von Deiner Netzkonfiguration noch kaum etwas (nur IPs, aber z.B. keine Network Device Namen) und müßten umständlich die Konfiguration abfragen, was bei Dir alles notwendig ist. Eigentlich nur drei Dinge, IP Forwarding auf Kernel Ebene aktivieren (wenn nicht schon der Fall), FTP-spezifisches NAT Modul laden (modprobe ip_nat_ftp) und eine SNAT Netfilter Regel einrichten. Alles findet sich bereits mehrmalig im Forum.

Hallo.. jo, dass ist aber alles was anderes :(

Weil ich brauch ja SNAT nicht auf dem Router sonderm auf dem Server hinter dem Router.

Hab den Kernel nun mal mit IP Forwarding support compliiert und 'modprobe ip_nat_ftp' gemacht.

Soweit bin ich denn schonmal ;)

Weil ich brauch ja SNAT nicht auf dem Router sonderm auf dem Server hinter dem Router.
Von Deinem LAN aus gesehen ist der Server vor dem Router. Damit der Router nicht Traffic mit privaten IP Adressen ins Internet routet, schaltest Du rein technisch gesehen Deinen Server als Software-Router vor Deinen Hardware Router. Es empfiehlt sich dann auf jeden Fall, Deinen Server im LAN als Internet Gateway einzutragen, damit alle Rechner im LAN vom SNAT profitieren.


Hab den Kernel nun mal mit IP Forwarding support compliiert

Mußtest Du da erst was compilieren? :rolleyes:

Du möchtest die Masquerading Regeln aus diesem Thread:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=35782

Genau lesen und aufpassen, daß Du die richtige Regel nimmst. ;) Da herrschte nämlich einige Verwirrung in dem Thread, was die Netzkonfiguration der User betraf. Bei Dir wissen wir ja auch noch nicht die Network Device Namen. :D Du wirst sowas in der Art brauchen:


iptables -t nat -I POSTROUTING 1 -o eth0 -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j MASQUERADE

Also..

device name is eth0 ! das ist schon richtig..

hab nun mal

'iptables -t nat -I POSTROUTING 1 -o eth0 -s 192.168.1.1/24 -d ! 192.168.1.1/24 -j MASQUERADE'

gemacht..

und mir den Beitrag zum dritten mal durchgelesen.

wie du sagst.. alles was verwirrent. und so wirklich blick ich durch den thread auch nich durch ;)

Auf jedenfall geht es immernoch nicht. :(

thx sob

Hab erstmal keine weitere Idee, weil mir auch nicht klar ist, was Dein Router für Funktionen übernimmt (wie konntest Du bislang überhaupt ins Internet? ;) ). Ein lokaler Sysadmin würde auf Netfilter-Ebene ordentlich loggen und ggf. mit tcpdump oder ethereal einen Blicks ins FTP werden.