Hallo Liste ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall. System SuSE 8.2 mit SuSE-Firewall. ftp auf www.xxx.yyy.zzz www.xxx.yyy.zzz ist die Ip des ftp-Servers ftp> ls 200 PORT command successful 425 Unable to build data connection: Connection timed out Die Firewall-Message ist dann May 13 12:33:55 proxy kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=www.xxx.yyy.zzz DST=217.88.158.146 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=2569 DF PROTO=TCP SPT=20 DPT=1277 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B4) Offensichtlicht block die Firewall den Datentransfer Wie kann ich ich die Firewall überreden, die ftp-Kommunikation nicht zu blockkieren. Danke für eure Hilfe Heiner
Hi Heiner,
Heiner Kuhlmann
Hallo Liste
ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.
System SuSE 8.2 mit SuSE-Firewall.
ftp auf www.xxx.yyy.zzz
www.xxx.yyy.zzz ist die Ip des ftp-Servers
ftp> ls 200 PORT command successful 425 Unable to build data connection: Connection timed out
Hehe, sieht so aus als ob Du das ftp-Modul nicht geladen hast. ;) (Ich glaube es hieß ftp_contract)
Die Firewall-Message ist dann
May 13 12:33:55 proxy kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=www.xxx.yyy.zzz DST=217.88.158.146 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=2569 DF PROTO=TCP SPT=20 DPT=1277 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B4)
Offensichtlicht block die Firewall den Datentransfer
Wie kann ich ich die Firewall überreden, die ftp-Kommunikation nicht zu blockkieren.
Mache passives ftp, dann sollte es gehen. Gruß Sören
Hallo Sören, Am Donnerstag, 13. Mai 2004 14:12 schrieb soeren.mindorf@mobilcom.de:
Hi Heiner,
Heiner Kuhlmann
schrieb am 13.05.2004 13:30:04: Hallo Liste
ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.
System SuSE 8.2 mit SuSE-Firewall.
ftp auf www.xxx.yyy.zzz
www.xxx.yyy.zzz ist die Ip des ftp-Servers
ftp> ls 200 PORT command successful 425 Unable to build data connection: Connection timed out
Hehe, sieht so aus als ob Du das ftp-Modul nicht geladen hast. ;) (Ich glaube es hieß ftp_contract)
ist geladen: lsmod | grep ip_conntrack ip_conntrack_ftp 3664 1 ip_conntrack 16380 3 [ipt_state ip_nat_ftp iptable_nat ip_conntrack_ftp]
Die Firewall-Message ist dann
May 13 12:33:55 proxy kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=www.xxx.yyy.zzz DST=217.88.158.146 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=2569 DF PROTO=TCP SPT=20 DPT=1277 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B4)
Offensichtlicht block die Firewall den Datentransfer
Wie kann ich ich die Firewall überreden, die ftp-Kommunikation nicht zu blockkieren.
Mache passives ftp, dann sollte es gehen.
genau, mit ftp -p ... läufts. Danke Heiner
Am Donnerstag, 13. Mai 2004 13:30 schrieb Heiner Kuhlmann:
Hallo Liste
ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.
System SuSE 8.2 mit SuSE-Firewall.
ftp auf www.xxx.yyy.zzz
www.xxx.yyy.zzz ist die Ip des ftp-Servers
ftp> ls 200 PORT command successful 425 Unable to build data connection: Connection timed out
Die Firewall-Message ist dann
May 13 12:33:55 proxy kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=www.xxx.yyy.zzz DST=217.88.158.146 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=2569 DF PROTO=TCP SPT=20 DPT=1277 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B4)
Offensichtlicht block die Firewall den Datentransfer
Wie kann ich ich die Firewall überreden, die ftp-Kommunikation nicht zu blockkieren.
Lass Squid auf dem Firewallrechner laufen. hth, Andreas.
Am Donnerstag, 13. Mai 2004 14:32 schrieb Andreas Scherer:
Am Donnerstag, 13. Mai 2004 13:30 schrieb Heiner Kuhlmann:
Hallo Liste
ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.
System SuSE 8.2 mit SuSE-Firewall.
ftp auf www.xxx.yyy.zzz
www.xxx.yyy.zzz ist die Ip des ftp-Servers
ftp> ls 200 PORT command successful 425 Unable to build data connection: Connection timed out
Die Firewall-Message ist dann
May 13 12:33:55 proxy kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=www.xxx.yyy.zzz DST=217.88.158.146 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=2569 DF PROTO=TCP SPT=20 DPT=1277 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B4)
Offensichtlicht block die Firewall den Datentransfer
Wie kann ich ich die Firewall überreden, die ftp-Kommunikation nicht zu blockkieren.
Lass Squid auf dem Firewallrechner laufen.
Danke Andreas, Squid läuft. Normalerweise verwende ich auch Squid. Läuft prima. Aber in diesem Fall will ich etwas auf den ftp-Server laden. Per squid ist m.E. kein put möglich. Gruß Heiner
Am Donnerstag, 13. Mai 2004 15:03 schrieb Heiner Kuhlmann:
Am Donnerstag, 13. Mai 2004 14:32 schrieb Andreas Scherer:
Am Donnerstag, 13. Mai 2004 13:30 schrieb Heiner Kuhlmann:
Hallo Liste
ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.
System SuSE 8.2 mit SuSE-Firewall.
ftp auf www.xxx.yyy.zzz
www.xxx.yyy.zzz ist die Ip des ftp-Servers
ftp> ls 200 PORT command successful 425 Unable to build data connection: Connection timed out
Die Firewall-Message ist dann
May 13 12:33:55 proxy kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=www.xxx.yyy.zzz DST=217.88.158.146 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=2569 DF PROTO=TCP SPT=20 DPT=1277 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B4)
Offensichtlicht block die Firewall den Datentransfer
Wie kann ich ich die Firewall überreden, die ftp-Kommunikation nicht zu blockkieren.
Lass Squid auf dem Firewallrechner laufen.
Danke Andreas,
Squid läuft. Normalerweise verwende ich auch Squid. Läuft prima. Aber in diesem Fall will ich etwas auf den ftp-Server laden. Per squid ist m.E. kein put möglich.
Nein - da Squid kein echter ftp-proxy ist. Bist Du sicher, dass ausse Port 21 TCP auch Port 20 UDP und TCP auf dem Firewall offen sind? Gruss, Andreas.
Hi On Thursday 13 May 2004 13:30, Heiner Kuhlmann wrote:
Hallo Liste
ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.
System SuSE 8.2 mit SuSE-Firewall.
Offensichtlicht block die Firewall den Datentransfer
Ganz wichtige Frage! Benutzt du nat/masquerading? Im normalen Hausgebrauch ist das ja fast immer so :-) Der Hinweis mit den modulen wurde ja schon gegeben. Die Module die du dann brauchts sind ip_conntrack, ip_conntrack_ftp und ip_nat_ftp (man lsmod, man modprobe). Das ist schonmal Voraussetzung für aktives ftp. ip_conntrack sollte aber eigentlich schon drin sein. Dann kann es natürlich sein, dass die Firewalleinstellungen nicht korrekt sind. Dazu musst die dann aber selber in die Konfiguration der Firewall schauen. Ich benutze kein SuSE-Firewall. mfg Axel
Hallo Axel, Am Donnerstag, 13. Mai 2004 14:47 schrieb Axel Heinrici:
Hi
On Thursday 13 May 2004 13:30, Heiner Kuhlmann wrote:
Hallo Liste
ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.
System SuSE 8.2 mit SuSE-Firewall.
Offensichtlicht block die Firewall den Datentransfer
Ganz wichtige Frage! Benutzt du nat/masquerading? Im normalen Hausgebrauch ist das ja fast immer so :-)
Nein, ftp läuft auf der Firewall.
Der Hinweis mit den modulen wurde ja schon gegeben. Die Module die du dann brauchts sind ip_conntrack, ip_conntrack_ftp und ip_nat_ftp (man lsmod, man modprobe). Das ist schonmal Voraussetzung für aktives ftp. ip_conntrack sollte aber eigentlich schon drin sein.
sind geladen
Dann kann es natürlich sein, dass die Firewalleinstellungen nicht korrekt sind. Dazu musst die dann aber selber in die Konfiguration der Firewall schauen. Ich benutze kein SuSE-Firewall.
Ich habe zwar eine Lösung mit passiven ftp. Mich würden die betreffenden Regeln für die Firewall schon interessieren. Danke Heiner
Hi On Thursday 13 May 2004 15:22, Heiner Kuhlmann wrote:
Hallo Axel,
Am Donnerstag, 13. Mai 2004 14:47 schrieb Axel Heinrici:
Hi
On Thursday 13 May 2004 13:30, Heiner Kuhlmann wrote:
Hallo Liste
ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.
System SuSE 8.2 mit SuSE-Firewall.
Offensichtlicht block die Firewall den Datentransfer
Ganz wichtige Frage! Benutzt du nat/masquerading? Im normalen Hausgebrauch ist das ja fast immer so :-)
Nein, ftp läuft auf der Firewall. Wie jetzt? Wo ist ist die firewall wo der client? Heißt das jetzt ein Rechner fungiert als router. Und darauf ist die firewall und ein ftp-Server. Und von einem Rechner im internen Netz möchtest du auf den den ftp-server auf dem router selbst zugreifen? Sollte das der Fall sein musst du vermutlich unter 9. in der SuSEfirewall bei "FW_SERVICES_INT_TCP" "FTP" eintragen. FW_SERVICES_INT_UDP wird meines wissens nicht gebraucht, da FTP kein UDP benutzt. Will in diesem Punkt aber keine Garantie geben. Wenn ich falsch liege mit deiner Netztopologie, dann erkläre das nochmal genauer.
Dann kann es natürlich sein, dass die Firewalleinstellungen nicht korrekt sind. Dazu musst die dann aber selber in die Konfiguration der Firewall schauen. Ich benutze kein SuSE-Firewall.
Ich habe zwar eine Lösung mit passiven ftp. Mich würden die betreffenden Regeln für die Firewall schon interessieren.
Prinzipiell ist es folgendermaßen (Grundkenntnisse in iptables vorausgesetzt). Per Zugriff auf Port 21 öffnet man die Steuerverbindung zum FTP-server. Deswegen das FW_SERVICES_INT_TCP="FTP" auf dem Rechner mit dem ftp-server. Dank des Moduls ip_conntrack wird nun alles Weitere in dieser Verbindung von einer iptables Regel die auf --state ESTABLISHED matcht durchgelassen. Bei passivem FTP wird bei put oder get dann eine Zusätzliche Verbindung zu Port 20 am FTP-server (FTP-data) aufgemacht. Diese kann (unsauberer Weg) direkt geöffnet werden indem man Port 20 generell am server öffnet. Oder man hat das Modul ip_conntrack_ftp geladen, dann werden diese Pakete als RELATED erkannt und können von einer Regel die auf --state RELATED matcht akzeptiert werden. Für die firewall des clients gilt gleiche, nur das hier source und destination-port vertauscht sind. Bei aktivem-FTP macht der Server eine Verbindung von einem beliebigen Port zum client auf Port20 auf. Damit das funktioniert muss bei der firewall des clients ip_conntrack_ftp geladen sein. Und es muss hier eine --state RELATED Regel geben. Auf dem Server selbst muss diese neue TCP-Verbindung natürlich auch akzeptiert werden. mfg Axel
participants (4)
-
Andreas Scherer
-
Axel Heinrici
-
Heiner Kuhlmann
-
soeren.mindorf@mobilcom.de