Hallo und guten Abend allerseits, Mein Problem, ich verwende squid auf einem "Server" squid als SurfProxy für einige Rechner bei mir, bis vor kurzen ging alles nur über den Proxy (http*, ftp), bis zu dem Tag an dem ich, ohne meine firewall- konfiguration zu sichern mit ip_masq_ftp rumgespielt habe um auch mit einem FTP Client auf ftp Seiten zugreifen zu können. Dies ist mir auch gelungen, als ich aber zu meiner alten Konfiguration zurückkehrte (so lala) bemerkte ich zu meinem Ärger dass ich nun über squid keine Dateien mehr von einem Ftp Server laden kann. ipchains (/var/log/messages) spuckt Dec 9 00:20:06 raidserver kernel: Packet log: ipppout DENY ippp0 PROTO=6 193.159.111.150:4543 134.147.32.62:43060 L=60 S=0x00 I=38326 F=0x0000 T=64 SYN (#24) aus wenn ich im Browser z.B.: auf ftp.heise.de zugreifen will. In der Firewall sind sowohl eingehende als auch ausgehende Ftp Verbindungen erlaubt, was man mit einem ftp ftp.heise.de auf der Konsole am Server überprüfen kann (Einwandfreiher Zugriff). Aber wenn ich obenstehende Information richtig deute soll da eh eine Verbindung von einem "hohen" Port bei mir zu einem anderen "hohen Port" bei ftp.heise.de aufgebaut werden. Was mit schleierhaft ist ist was das mit einer ftp Verbindung zutun hat. Dies ist jedoch das eizige was in /var/log/messages während des Zugriffs zu beobachten ist, und wenn ich die Firewall runterfahre geht es auch wieder) Wie oben schon erwähnt hatte ich mit ip_masq_fpt und der forward chain experimentiert. Ich habe eine isdn dialup Verbindung, alle Packete auf dem Interface ippp0 werden in ipppin/out verarbeitet. Ich verwende den squid2.2 STABLE 5 SuSE 6.3 mit eigenem Kernel 2.2.14 danke schonmal timo proescholdt --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Timo On 00/12/08@22:47 Timo Proescholdt told me in 46lines (1,9K):
ipchains (/var/log/messages) spuckt
Dec 9 00:20:06 raidserver kernel: Packet log: ipppout DENY ippp0 PROTO=6 193.159.111.150:4543 134.147.32.62:43060 L=60 S=0x00 I=38326 F=0x0000 T=64 SYN (#24) ^^^ Vieleicht hilft die Ausgabe von ipchains -L Zeile 24 weiter.
-- (o< -----------CU---------- >o) //\ *Maik Holtkamp* /\\ V_/ #s-y-l@gmx.net# \_V \_________________________/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Maik Holtkamp schrieb:
Hallo Timo
On 00/12/08@22:47 Timo Proescholdt told me in 46lines (1,9K):
ipchains (/var/log/messages) spuckt
Dec 9 00:20:06 raidserver kernel: Packet log: ipppout DENY ippp0 PROTO=6 193.159.111.150:4543 134.147.32.62:43060 L=60 S=0x00 I=38326 F=0x0000 T=64 SYN (#24) ^^^ Vieleicht hilft die Ausgabe von ipchains -L Zeile 24 weiter.
leider nein, das ist die "Aufräum" Rule, die alles was bis jetzt nicht erlaubt wurde verbietet. Mein Problem ist eher dass obenzitierte Zeile beim Herstellen einer Ftp Verbindung entsteht (ftp Anfrage an squid). Was mich dabei wundert ist dass die Verbindung von Port 4543 auf meinem Rechner nach Port 43060, und nicht wie bei FTP eigentlich anzunehmen nach Port 21, aufgebaut wird. ratlos timo --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Sonntag, 10. Dezember 2000 um 11:02 (+0100) schrieb Timo Proescholdt:
Maik Holtkamp schrieb:
On 00/12/08@22:47 Timo Proescholdt told me in 46lines (1,9K):
ipchains (/var/log/messages) spuckt
Dec 9 00:20:06 raidserver kernel: Packet log: ipppout DENY ippp0 PROTO=6 193.159.111.150:4543 134.147.32.62:43060 L=60 S=0x00 I=38326 F=0x0000 T=64 SYN (#24) ^^^ Mein Problem ist eher dass obenzitierte Zeile beim Herstellen einer Ftp Verbindung entsteht (ftp Anfrage an squid). Was mich dabei wundert ist dass die Verbindung von Port 4543 auf meinem Rechner nach Port 43060, und nicht wie bei FTP eigentlich anzunehmen nach Port 21, aufgebaut wird.
Nein, das ist völlig normal: Es gibt zwei "Arten" von
ftp-Verbindungen, "aktive" und "passive" Verbindungen. Aktive
Verbindungen werden über die Ports 20 und 21 aufgebaut und benötigen
ggfs. das ftp-masq-Modul; passive Verbindungen benutzen die
unpriviliegierten Ports oberhalb 1024.
Squid benutzt bei ftp "nach aussen" standardmäßig nur passive
Verbindungen, ab squid 2.3.Stable3 kann squid mit dem Eintrag
"ftp_passive off" in der squid.conf zur Nutzung von aktivem ftp
"überredet" werden.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Hi Andreas, Andreas Koenecke schrieb:
^^^
Mein Problem ist eher dass obenzitierte Zeile beim Herstellen einer Ftp Verbindung entsteht (ftp Anfrage an squid). Was mich dabei wundert ist dass die Verbindung von Port 4543 auf meinem Rechner nach Port 43060, und nicht wie bei FTP eigentlich anzunehmen nach Port 21, aufgebaut wird.
Nein, das ist völlig normal: Es gibt zwei "Arten" von ftp-Verbindungen, "aktive" und "passive" Verbindungen. Aktive Verbindungen werden über die Ports 20 und 21 aufgebaut und benötigen ggfs. das ftp-masq-Modul; passive Verbindungen benutzen die unpriviliegierten Ports oberhalb 1024. Squid benutzt bei ftp "nach aussen" standardmäßig nur passive Verbindungen, ab squid 2.3.Stable3 kann squid mit dem Eintrag "ftp_passive off" in der squid.conf zur Nutzung von aktivem ftp "überredet" werden.
wenn ich richtig verstehe ist das was bei mit "durchfällt" der Transport Kanal für Fpt, einmal muss der Zielserver doch schon auf 21 angesprochen werden. Heisst das jetzt für meine Firewallregel dass ich alles von 1024: nach 1024: erlauben muss?
Gruß
Andreas
auf alle Fälle schonmal Danke timo --------------------------------------------------------- Editierst Du (Konfiguratons-)Dateien auf einem Windows PC, vergiss nicht dos2unix laufen zu lassen. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Timo, * Montag, 11. Dezember 2000 um 08:28 (+0100) schrieb Timo Proescholdt:
Andreas Koenecke schrieb:
Nein, das ist völlig normal: Es gibt zwei "Arten" von ftp-Verbindungen, "aktive" und "passive" Verbindungen. Aktive Verbindungen werden über die Ports 20 und 21 aufgebaut und benötigen ggfs. das ftp-masq-Modul; passive Verbindungen benutzen die unpriviliegierten Ports oberhalb 1024. Squid benutzt bei ftp "nach aussen" standardmäßig nur passive Verbindungen, ab squid 2.3.Stable3 kann squid mit dem Eintrag "ftp_passive off" in der squid.conf zur Nutzung von aktivem ftp "überredet" werden.
wenn ich richtig verstehe ist das was bei mit "durchfällt" der Transport Kanal für Fpt, einmal muss der Zielserver doch schon auf 21 angesprochen werden.
Ja!
Heisst das jetzt für meine Firewallregel dass ich alles von 1024: nach 1024: erlauben muss?
Nur, wenn du passives ftp zulassen willst.
"Echte" ftp-Clients nutzen AFAIK standardmäßig aktives ftp, nur die
WWW-Browser benötigen wohl passives ftp.
Mir war/ist das hier auch zu unsicher, alle Ports oberhalb 1024 zu
öffnen, deshalb bleiben sie gesperrt und der Squid wurde, wie oben
beschrieben, auf aktives ftp umgestellt. Alle WWW-Browser im Netz
nutzen diesen Squid auch als ftp-Proxy, während "echte" ftp-Clients
über die Ports 20 und 21 masqueraded werden: Funktioniert :-)
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
On Sunday 10 December 2000 11:02, Timo Proescholdt wrote:
Maik Holtkamp schrieb:
Hallo Timo
On 00/12/08@22:47 Timo Proescholdt told me in 46lines (1,9K):
ipchains (/var/log/messages) spuckt
Dec 9 00:20:06 raidserver kernel: Packet log: ipppout DENY ippp0 PROTO=6 193.159.111.150:4543 134.147.32.62:43060 L=60 S=0x00 I=38326 F=0x0000 T=64 SYN (#24)
^^^ Vieleicht hilft die Ausgabe von ipchains -L Zeile 24 weiter.
leider nein, das ist die "Aufräum" Rule, die alles was bis jetzt nicht erlaubt wurde verbietet. Mein Problem ist eher dass obenzitierte Zeile beim Herstellen einer Ftp Verbindung entsteht (ftp Anfrage an squid). Was mich dabei wundert ist dass die Verbindung von Port 4543 auf meinem Rechner nach Port 43060, und nicht wie bei FTP eigentlich anzunehmen nach Port 21, aufgebaut wird.
FTP ist 'ne alte Drecksau! Sorry, kann man nicht anders sagen ... Das Problem ist, daß beim FTP über Browser der FTP-Server einen Connect zu einem Deiner unprivilegierten Ports aufbauen möchte. Welcher das sein wird, kann man nicht wissen. Du könntest also die privilegierten Ports alle aufmachen -- bis auf die Ausnahmen, wo Dienste laufen (X, Squid, NFS, SQL ...) und hoffen, keinen zu vergessen. Oder Du gewöhnst Deine User an FTP-Clients. Die meisten kennen so etwas gar nicht :-) Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (4)
-
akoenecke@akoenecke.de -
cmeyer@mail.com -
s-y-l@gmx.net -
timo@proescholdt.de