PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : aktiv FTP


atomd
19.08.03, 08:53
Hi,

also erstmal hoffe ich das aktiv FTP auch das ist was ich meine :-)
"hoher Port zu hohem Port für FTP Datentranfer"
dies würde ich, jedenfalls gerne hinter einer iptables Firewall
zulassen

Struktur:
Inet <-> FW <-> Netz (kein Maquarading, nur forward)

Bis auf ein paar Einschränkungen "135 unteranderem" habe
ich den forward erlaubt aber aktiv FTP funktioniert nicht

PORT Kommando fehlgeschlagen

thx for help

gruss atomD
Timbo
19.08.03, 11:57
Hi,

was willst Du denn genau machen?

Soll von außen(I-NET) Zugriff auf einen
Intern liegenden ftp-Server zugegriffen werden,
oder möchtest Du von einem LAN aus ftp-Server
im I-NET über aktiv erreichen?

Timbo
atomd
19.08.03, 12:43
das zweitere:

Also von internen Netz auf einen FTP Server im Inet zugreifen
Timbo
19.08.03, 13:10
Also, dafür brauchst Du ein Kernelmodul.
Passiv ftp funzt, oder?

Dieses Kernelmodul heist

ip_conntrack_ftp

Timbo
atomd
19.08.03, 13:15
hab jetzt an den Anfang meines FW-Scripts folgendes angefügt:

/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_conntrack_ftp


aber es geht noch immer nicht,
muss ich noch spezielle Regeln hinzufügen?
Timbo
19.08.03, 14:05
Funzt denn passives?

Timbo
atomd
19.08.03, 14:56
ja

und bei aktiv siehts so aus

257 "/" is current directory.
Verzeichnis einlesen
TYPE A
200 Type set to A.
PORT 195,145,228,88,9,135
500 Illegal PORT command.

Was bedeutet denn ,9,135 (Port wird aufjedenfall geblockt)?
atomd
19.08.03, 14:59
aus dem rfc

PORT h1,h2,h3,h4,p1,p2
where h1 is the high order 8 bits of the internet host address

also p1 und p2 zusammen ergeben wohl den Port,
so wie ich das verstanden hab.

Windows consolen ftp client meldet folgendes

500 Illegal PORT command.
425 Can't build data connection: Connection refused
Timbo
19.08.03, 16:11
Hi,

lade mal zusätzlich das Modul

ip_nat_ftp


Timbo
atomd
19.08.03, 16:16
yeah baby :-) das rockt!!!

Besten Dank und gruss
atomD
Timbo
19.08.03, 16:31
OK!

Sixt jetz hab ich auch was dazu gelernt,
das Modul ip_conntrack_ftp funzt nur
in Verbindung mit diesem.


Timbo
emil123
21.08.03, 22:40
kleine Ergänzung:
Ihr meint passives FTP
Timbo
23.08.03, 09:57
Hi,

des hängt davon ab von welcher Seite Du es siehst.

Vom LAN über den Linux-Router ins I-Net=aktiv
Vom I-NET ins LAN=passiv.

Da umgekehrt sowieso standardmässig funzt, d.h

LAN ins I_NET std=passiv
I-NET ins LAN std=aktiv


Ois kloar?

Timbo