Hi

Ich habe einen Linux router der ausschließlich als Firewall fungiert.Jetzt habe ich dahinter einen FTP Server und will wissen wie man das dann frei gibt damit leute an den Rechner weitergeleitet werden damit sie Up- und Downloaden können.


Gruß und danke schon mal

Chessmaster

Also soetwas in der Art:
ipmasqadm portfw -a -P tcp -L Externe_IP 20 -R FTP_SERVER_IP 20
und das selbe nochmal mit port 21

T;o)Mes

und wohin schreibt mann diesen Satz? sorry aber bin noch noob


Chessmaster

meine Kristallkugel gefragt und die hat mir gesagt das du SuSE 8.0 benutzt, mit Firewall 2.
Dann solltest du einfach mal die Suchfunktion des Forums benutzten. --> Portforwarding ist da dein Stichwort.
Das Beispiel war fuer ein ipchains Firewall. Die meisten benutzten aber in der zwischenzeit iptables.
Auch nach diesen Begriffen kannst du dich mal unschauen, da gibt es schon eine Menge Themen dazu.
Aber Achtung: fuer ftp musst du Port 20 und 21, also zwei Ports benutzen, da es viele Beispiele fuer http-Server gibt (Port 80).

T;o)Mes

du bist gut mit deiner Kugel aber kannst du mir nicht eben sagen wohin das kommt ich meine wenns dir nicht s ausmacht und ich dich nicht in deiner wahrsagerei störe.

Chessmaster

gelöscht :D

sich auf meine frage von vorhin habe wohl an statt antwort neues thema gecklickt sorry.


Chessmaster

hi


Original geschrieben von tomes
meine Kristallkugel gefragt und die hat mir gesagt das du SuSE 8.0 benutzt, mit Firewall 2.


*grins* sollte tomes seine kugel recht haben, dann findest du das firewallscript unter /etc/sysconfig/SuSEfirewall2. dieses öffnest du als root mit dem editor deiner wahl und suchst nach folgenden einträgen

FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" <= auf yes setzen

FW_FORWARD_MASQ="" <= hier trägst du source-ip, destination-ip, proto, port ein

bsp:

FW_FORWARD_MASQ="0/0,lan_ip_vom_ftpd,tcp,20:21"


Gruß HangLoose

Original geschrieben von Chessmaster
sich auf meine frage von vorhin habe wohl an statt antwort neues thema gecklickt sorry.


Und ich hab wieder die Arbeit.... ;)

in dieser zeile schon einen satz für edonkey drin dürfen da auch zwei rein?

Ich weiß ihr haltet mich vielleicht für dumm aber ihr habt vielleicht auch mal klein angefangen

Chessmaster

tut mir Leid wollte ich nicht wahr ein versehen.

Chessmaster

hi



Original geschrieben von Chessmaster
in dieser zeile schon einen satz für edonkey drin dürfen da auch zwei rein?

Ich weiß ihr haltet mich vielleicht für dumm aber ihr habt vielleicht auch mal klein angefangen

Chessmaster

nö, ich nicht ;)

das da schon ein edonkey-port drin ist, ist ein problem. ich hab das heute morgen schonmal versucht, mehrere ports frei zugeben. allerdings nur mit mäßigem erfolg. eine portbereichsangabe in der form von z.b 100:120 funktionierte noch. allerdings ist das ja bei ftp und edonkey nicht grade hilfreich => 20:4662 :mad:

du kannst mal folgendes versuchen

FW_FORWARD_MASQ="0/0.lan_ip,tcp,20:21 0/0,lan_ip,tcp,4661:4662"

das ganze muß in einer zeile stehen und zw. den einträgen muß ein leerzeichen sein. ist zumindest ein versuch wert.

Gruß HangLoose

aber ich will da nicht zuviel drin rum fummeln weil es läuft jetzt eigentlich alles sehr stabiel

Aber trozdem Danke schön

Chessmaster

Hallo,

ich bezweifle sehr, dass die oben genannten Lösungen in jedem Falle funktionieren.
Es ist richtig, dass FTP zwei TCP-Verbindungen benutzt (einen für den Kommandokanal -> Server = 21/tcp und einen für den Datenkanal -> Server = 20/tcp || Highport/tcp).

Die meisten mir bekannten FTP-Server arbeiten sowohl im active- als auch passive-Mode beim Datenkanal nicht mit dem Port 20/tcp (das machen nur noch ganz wenige und bei denen trifft dann die o.g. Beschreibung zu) sondern genehmigen sich einen Highport. Und genau dieser ist von vorneherein nicht bestimmbar; somit kann auch für den Datenkanal keine definierte Aussage für die Forwarding-Regel gemacht werden.

Eine Lösung aus diesem Dilemma bietet an dieser Stelle der Einsatz eines FTP-Proxy Servers an, der auf dem Router installiert wird, dort Anfragen entgegennimmt und diese an den internen FTP-Server weiterleitet. In dem Falle brauchts kein Forwarding; hier muß lediglich per Connection-Tracking der Kommandoport 21/tcp und die "RELATED"-Verbindung - also der Datenkanal auf Highport/tcp - in den Filterregeln freigegeben werden.

btw: Nicht alles, was in der /etc/services steht, muß in jedem Falle richtig sein ;)

Harry