PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SuSE 8.1 & SuSEfirewall & ftp



Stormbringer
16.10.02, 20:46
Hallo,

hat bereits jemand ein SuSE 8.1 System mit der SuSEfirewall und ftp ans laufen gebracht?
Habe das Problem, daß zwar über das Internet ankommende Emails angenommen werden, daß Webseiten des installierten apache betrachtet werden können, auch ssh Verbindungen (bspw. via putty) funzen, aber es wird keine einzige FTP Verbindung aufgebaut.
Habe in der SuSEfirewall sowohl FTP aufgeführt, als auch mittlerweile die Port Nummer 21 - aber es hilft nichts .. :-(

Ein Auszug aus /var/log/messages:


Oct 16 20:16:03 gateway kernel: SuSE-FW-ACCESS_DENIED_INT IN=eth0 OUT= MAC=00:02:b3:15:03:cd:00:10:4b:b6:01:f7:08:00 SRC=192.168.10.100 DST=217.235.51.111 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=18432 DF PROTO=TCP SPT=1033 DPT=21 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405B401010101)


Die betreffenden SuSEfirewall Zeilen:

# Common: smtp domain
FW_SERVICES_EXT_TCP="ftp http https smtp ssh 21 22 25 80 443"
# Common: domain
FW_SERVICES_EXT_UDP=""
# Common: domain
# For VPN/Routing which END at the firewall!!
FW_SERVICES_EXT_IP=""
#
# Common: smtp domain
FW_SERVICES_DMZ_TCP=""
# Common: domain
FW_SERVICES_DMZ_UDP=""
# For VPN/Routing which END at the firewall!!
FW_SERVICES_DMZ_IP=""
#
# Common: ssh smtp domain
FW_SERVICES_INT_TCP="www ftp smtp domain 21 22 25 53 80 110 119 139 443"
# Common: domain syslog
FW_SERVICES_INT_UDP=""
# For VPN/Routing which END at the firewall!!
FW_SERVICES_INT_IP=""


Hat jemand eine Idee????

Ich würde es gerne mit SuSE 8.1 testen, um mir ein besseres Gesamtbild der 8.1 machen zu können - denn besonders euphorisch bin ich nicht .... also bitte keine Kommentare á la "nimm keine SuSE" ;-) ... habe mir deshab auch, des besseren Vergleichs wegen, den proftpd 1.2.6 eingespielt.
Lokal ist der ftp Server erreichbar, aber auch aus dem LAN heraus nicht!!!!
Die aktuellen updates habe ich selbstredend eingespielt.

Danke & Gruß

[HO]Xerxes
16.10.02, 22:37
mach mal die 20 auch noch auf. ich glaub, der wird auch von ftp benutzt.

Stormbringer
17.10.02, 07:05
Tja .... das erbringt auch keine Abhilfe.

Trotzdem Danke!

Gruß

LKH
17.10.02, 08:09
Hi,

für (aktives) FTP wird auch noch ein hoher Port benötigt, der wahrscheinlich von der Firewall blockiert wird. Gib mal die Ports ab 1024 - frei; wie das bei der aktuellen SuSE-FW geht weiss ich allerdings nicht.

Viel Erfolg,

Stormbringer
17.10.02, 08:58
Hallo,

die betreffenden Einträge sind gemacht:
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"

Trotzdem Danke!! ;)

Gruß

LKH
17.10.02, 10:10
Hi,

gibts diese Einträge nur einmal oder mehrmals? Soweit ich mich erinnere gibts bei der SuSE-FW mehrere Sektionen (Internet, DMZ, intern)?

Stormbringer
17.10.02, 14:39
Siehe mein erstes posting (Öffnung dieses threads).
Die highport Parameter gibt es nur einmal.

Gruß

HangLoose
17.10.02, 14:41
kann es eventuell auch an der config des ftp-servers liegen? in der firewall hast du eigentlich alles drin

Stormbringer
17.10.02, 20:11
Hi,

naja, dafür ist die config eigentlich zu kurz (mittlerweile zu kurz) ;):
ServerName "ProFTPD Default Installation"
ServerType inetd
DefaultServer on

Port 21
Umask 022
MaxInstances 30

User nobody
Group nogroup

<Directory /*>
AllowOverwrite on
</Directory>

<Anonymous ~ftp>
User ftp
Group ftp
UserAlias anonymous ftp
MaxClients 10
DisplayLogin welcome.msg
DisplayFirstChdir .message

<Limit WRITE>
DenyAll
</Limit>

</Anonymous>


Oder ist da ein Fehler drin??? ;)

Gruß

HangLoose
17.10.02, 20:19
ne, sieht nicht so aus ;)

mach mal ein lsmod | grep ip_* und poste die ausgabe

Stormbringer
18.10.02, 17:01
Das sieht, für mich, auch ok aus, oder?

ipv6 138964 -1 (autoclean)
ipt_TCPMSS 2296 1 (autoclean)
ipt_TOS 952 22 (autoclean)
ipt_MASQUERADE 1240 1 (autoclean)
ipt_LOG 3320 120 (autoclean)
ipt_state 568 98 (autoclean)
ipt_REJECT 2712 3 (autoclean)
iptable_mangle 2072 1 (autoclean)
iptable_filter 1644 1 (autoclean)
ip_nat_ftp 3056 0 (unused)
iptable_nat 13688 2 [ipt_MASQUERADE ip_nat_ftp]
ip_conntrack_ftp 3456 0 (unused)
ip_conntrack 14140 3 [ipt_MASQUERADE ipt_state ip_nat_ftp iptable_nat ip_conntrack_ftp]
ip_tables 11576 11 [ipt_TCPMSS ipt_TOS ipt_MASQUERADE ipt_LOG ipt_state ipt_REJECT iptable_mangle iptable_filter iptable_nat]

Gruß

HangLoose
19.10.02, 15:13
hi

ipv6 138964 -1 (autoclean)
ipt_TCPMSS 2296 1 (autoclean)
ipt_TOS 952 22 (autoclean)
ipt_MASQUERADE 1240 1 (autoclean)
ipt_LOG 3320 120 (autoclean)
ipt_state 568 98 (autoclean)
ipt_REJECT 2712 3 (autoclean)
iptable_mangle 2072 1 (autoclean)
iptable_filter 1644 1 (autoclean)
ip_nat_ftp 3056 0 (unused)
iptable_nat 13688 2 [ipt_MASQUERADE ip_nat_ftp]
ip_conntrack_ftp 3456 0 (unused)
ip_conntrack 14140 3 [ipt_MASQUERADE ipt_state ip_nat_ftp iptable_nat ip_conntrack_ftp]
ip_tables 11576 11 [ipt_TCPMSS ipt_TOS ipt_MASQUERADE ipt_LOG ipt_state ipt_REJECT iptable_mangle iptable_filter iptable_nat]

ich bin mir jetzt nicht ganz sicher, aber möglich, das die beiden module noch geladen werden müssen.


Gruß HangLoose

Stormbringer
19.10.02, 20:09
Leider Nein .... daran liegt es, oder besser lag es, nicht.

Nun frage mich bitte niemand, was geschehen ist .... nachdem ich heute nachmittag lediglich vgrabbj installierte, und anschließend den Rechner neu gebootet habe, funzt es.
Sämtlich Einstellungen sind identisch geblieben - nur das er plötzlich anstelle eines ACCESS_DENIED ein ACCEPT_IN aufzeichnet, und der Zugriff tatsächlich klappt.

Ich bin nun erst recht ratlos .....

Trotzdem Danke an alle die Hilfe gegeben haben!

Gruß