Hallo, ich habe mal wieder eine Frage und zwar: Ich habe mehrere Windows PC an einen LINUX Router angeschlossen auf dem Squid, die Firewall und ein Mailserver laufen. Jetzt möchte ich von einem Win PC aus per FTP Daten ins Internet übertragen. Leider geht das nicht. Die Ports 20, 21... sind in der Firewall fürs interne Netz freigegeben. Im Windows PC ist als Standardgateway der Linuxrechner eingetragen. Woran könnte es liegen das kein FTP möglich ist? Ich habe leider keine nutzbaren Seiten im Internet gefunden die dieses Problem zufriedenstellend abarbeiten damit es bei mir klappt. Danke für eure Antworten Tobias Please visit my Website www.jenatschke.de
Am Montag 16 Juli 2001 20:01 schrieben Sie:
Hallo,
ich habe mal wieder eine Frage und zwar:
Ich habe mehrere Windows PC an einen LINUX Router angeschlossen auf dem Squid, die Firewall und ein Mailserver laufen. Jetzt möchte ich von einem Win PC aus per FTP Daten ins Internet übertragen. Leider geht das nicht. Die Ports 20, 21... sind in der Firewall fürs interne Netz freigegeben. Im Windows PC ist als Standardgateway der Linuxrechner eingetragen. Woran könnte es liegen das kein FTP möglich ist?
Ich habe leider keine nutzbaren Seiten im Internet gefunden die dieses Problem zufriedenstellend abarbeiten damit es bei mir klappt.
Danke für eure Antworten Tobias
Please visit my Website www.jenatschke.de
hallo, entweder du lädst die daten ueber den squid via ftp tunnel ueber das http protokol. (musst das ftp tool auf den squid konfen) oder du nutzt masquerading in deinem firewallscript. zusaetzlich koenntest du noch den nameserver(bind) starten! /etc/init.d/rcnamed start das masquerading muesste dann z.B. so aussehen: echo " Start masquerading" echo 1 > /proc/sys/net/ipv4/ip_forward || return=$rc_failed ipchains -P forward DENY || return=$rc_failed ipchains -A forward -s $LAN -p ICMP -j MASQ || return=$rc_failed ipchains -A forward -s $LAN -p TCP -j MASQ || return=$rc_failed ipchains -A forward -s $LAN -p UDP -j MASQ || return=$rc_failed z.B.: LAN=192.168.1.1/24 ip-range vom internen netz oder einzelne ip
Hallo, Tobias On Monday 16 July 2001 20:01, Tobias Jenatschke wrote:
Hallo,
ich habe mal wieder eine Frage und zwar:
Ich habe mehrere Windows PC an einen LINUX Router angeschlossen auf dem Squid, die Firewall und ein Mailserver laufen. Jetzt möchte ich von einem Win PC aus per FTP Daten ins Internet übertragen. Leider geht das nicht. Die Ports 20, 21... sind in der Firewall fürs interne Netz freigegeben. Im Windows PC ist als Standardgateway der Linuxrechner eingetragen. Woran könnte es liegen das kein FTP möglich ist?
FTP kennt zwei Modi: aktives und passives FTP aktives FTP: 1. Client(Port: >1023, SYN) -> Server(Port: 21) ... Request ==> Port 21 fuer Zugriff nach aussen freimachen. 2. Server(Port: 21, ACK) -> Client(Port: 21) ... Bestaetigung ==> Port 21 fuer Antwort von aussen freimachen (ACK erlauben). 3. Server(Port 20, SYN) -> Client(Port: >1023) ... Datachannel oeffnen ==> Alle Ports ueber 1023 fuer Connection-Versuch von aussen oeffnen !!!!!!!!!!!!!!!!!DAS IST EIN RIESEN-LOCH!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 4. Client(Port: >1023, ACK) -> Server(Port: >1023) ... Bestaetigung ==> Das sind die gleichen beiden (vorher nicht bekannten Ports, die in Schritt 3 ausgehandelt wurden. Man kann deutlich erkennen, dass man keine Firewall braucht (jedenfalls theoretisch) wenn man aktives FTP erlaubt. Darum gibt es auch noch den passiven Modus: 1. Client(Port: >1023, SYN, PASV) -> Server(Port: 21) ... Request ==> Port 21 fuer Zugriff nach aussen freimachen. 2. Server(Port: 21, ACK, Port) -> Client(Port: 21) ... Bestaetigung ==> Port 21 fuer Antwort von aussen freimachen (ACK erlauben). 3. Client(Port: >1023, SYN) -> Server(Port: den dieser vorher angab) ==> Es muessen hier nur alle Port's oberhalb 1023 fuer Connections geoeffnet werden, die von innen initiiert werden. 4. Server(Port: von vorher, ACK) -> Client(Port: dessen Source) ==> Auch hier muss der Server nur antworten. Wie man sieht, bleibt Port 20 bei passivem FTP aus dem Spiel. man muss also Port 21 fuer Connections nach draussen oeffnen und Antworten erlauben (! -y, bzw. ! --syn bei iptables oder -m --state ESTABLISHED), sowie alle Port's ueber 1023 fuer den Zugriff nach aussen freischalten, und ebenso Antworten zulassen. Hoffe geholfen zu haben. mfg, Gerd -- /"\ \ / ASCII Ribbon Campaign x Say NO to HTML in email and news !! / \
participants (3)
-
Andre P.
-
Gerhard Feiner
-
Tobias Jenatschke