Hallo Timo, * Montag, 11. Dezember 2000 um 08:28 (+0100) schrieb Timo Proescholdt:
Andreas Koenecke schrieb:
Nein, das ist völlig normal: Es gibt zwei "Arten" von ftp-Verbindungen, "aktive" und "passive" Verbindungen. Aktive Verbindungen werden über die Ports 20 und 21 aufgebaut und benötigen ggfs. das ftp-masq-Modul; passive Verbindungen benutzen die unpriviliegierten Ports oberhalb 1024. Squid benutzt bei ftp "nach aussen" standardmäßig nur passive Verbindungen, ab squid 2.3.Stable3 kann squid mit dem Eintrag "ftp_passive off" in der squid.conf zur Nutzung von aktivem ftp "überredet" werden.
wenn ich richtig verstehe ist das was bei mit "durchfällt" der Transport Kanal für Fpt, einmal muss der Zielserver doch schon auf 21 angesprochen werden.
Ja!
Heisst das jetzt für meine Firewallregel dass ich alles von 1024: nach 1024: erlauben muss?
Nur, wenn du passives ftp zulassen willst.
"Echte" ftp-Clients nutzen AFAIK standardmäßig aktives ftp, nur die
WWW-Browser benötigen wohl passives ftp.
Mir war/ist das hier auch zu unsicher, alle Ports oberhalb 1024 zu
öffnen, deshalb bleiben sie gesperrt und der Squid wurde, wie oben
beschrieben, auf aktives ftp umgestellt. Alle WWW-Browser im Netz
nutzen diesen Squid auch als ftp-Proxy, während "echte" ftp-Clients
über die Ports 20 und 21 masqueraded werden: Funktioniert :-)
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke