* Hermann Flacke wrote on 23 Jul 2002:
On Tue, Jul 23, 2002 at 12:45:11PM +0200, Thomas Preissler wrote:
* Hermann Flacke wrote on 22 Jul 2002:
[...]
modprobe ip_nat_ftp modprobe ip_conntrack_ftp .......
iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ -s $LAN_ADDRESSES --sport $UNPRIVPORTS --dport 21 \ -m state --state NEW -j ACCEPT
................
Passives ftp wie "wget -cr --passive ftp://ftp.suse.com/pub/suse/i386/supplementary/KDE/update_for_8.0" klappt wunderbar aber "wget -cr --passive ftp://ftp.suscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/P3B-F/" klappt nicht. Unter Windows kommt die Fehlermeldung "200 Type set to A, 500 Invalid port command".
http://www.cs.princeton.edu/~jns/security/iptables/iptables_conntrack.html Daraus mein umgesetztes Beispiel für die Forward-Kette. Die Datei "ftp://ftp.asuscom.de/pub/ASUSCOM/BIOS/Slot_I/INTEL_Chipset/i440BX/ P3B-F/1006f3.zip" kann nach wie vor nicht geholt werden. Nach dem "Klick" auf das Icon der Datei fragt der Mozilla brav nach dem Ablageort der Datei, holt sie jedoch nicht ab. SuSE- und andere Passive-FTP-Seiten funktionieren. Kann
Hm, komisch. Entweder es geht oder nicht. Schalte mal Logging ein, logge alles, versuch die Datei downzuloaden, Logging wieder aus und dann mal gucken. Alternativ hilft vielleicht sogar ein Sniffer, der Dir die Trafficdaten anzeigt, was das FTP-Protokoll so aussupckt. tcpdump -w /tmp/sniff_data -i <extdev> 'port ftp' Müsste hinhauen, ungetestet. Dann ein strings /tmp/sniff_data
es sein, dass es evtl. Probleme gibt, wenn der FTP-Server von Asus unter einer privaten, nicht routbaren Adresse läuft? Ich meine, so etwas mal irgendwo
Entweder - oder. Eine private Routbare gibt es nicht. Es ist alles nur eine Frage der Konfiguration. Mein Arbeitsrechner hat intern eine private IP. Ich habe allerdings per Port-Forwarding auf meinem Server gewisse Dienste nach draussen freigeschaltet. D.h., wenn sich einer auf den Port y auf meinem Server connectet, bearbeitet mein Rechner mit der internen IP das Paket. Das Paket selbst wird vom Server so modifiziert, dass mein Arbeitsrechner meint, es ist für ihn (d.h. es wird die Target-IP umgeschrieben. Dies heisst auch NAT - - Network Address Translation. Am Server kann man ja ins interne Netz, bzw. ist schon drinnen.) Von draussen direkt kommst Du nicht auf den Arbeitsrechner, da er eine private IP hat, und die wird von Routern nicht geroutet. Klaro? Poste Deine Logeinträge. Wenn es zuviel ist, PM
aufgeschnappt zu haben. Auszug aus Firewall-Skript:
----------------------------schnipp-------------------------------------------- echo "FTP" # FTP Outbound /usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 21 \ -m state --state ESTABLISHED -j ACCEPT
/usr/sbin/iptables -A FORWARD -I $LAN_IF -o $EXTERNAL_IF -p tcp \
Ist das nicht ein kleines "i"? Ein großes "I" fügt eine Regel ein, bezeichnet kein Device.
--dport 21 \ -m state --state NEW,ESTABLISHED -j ACCEPT
# FTP Active
/usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport 20 \ -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --dport 20 \ -m state --state ESTABLISHED -j ACCEPT
# FTP Passive. Server und Client auf High Ports
/usr/sbin/iptables -A FORWARD -i $EXTERNAL_IF -o $LAN_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED -j ACCEPT
/usr/sbin/iptables -A FORWARD -i $LAN_IF -o $EXTERNAL_IF -p tcp \ --sport $UNPRIVPORTS --dport $UNPRIVPORTS \ -m state --state ESTABLISHED,RELATED -j ACCEPT
Stimmt eigentlich soweit. Wie sieht es mit der Input-/Output-Chain aus? Wahrscheinlich auf ACCEPT. Greetz, Tom -- Preissler Thomas Registered Linux User #265745 GPG-Key: 1024D/C21DAB7F http://counter.li.org/