Hallo Sören, Am Donnerstag, 13. Mai 2004 14:12 schrieb soeren.mindorf@mobilcom.de:

Hi Heiner,

Heiner Kuhlmann schrieb am 13.05.2004 13:30:04:

...

Hallo Liste

ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.

System SuSE 8.2 mit SuSE-Firewall.

ftp auf www.xxx.yyy.zzz

www.xxx.yyy.zzz ist die Ip des ftp-Servers

ftp> ls 200 PORT command successful 425 Unable to build data connection: Connection timed out

Hehe, sieht so aus als ob Du das ftp-Modul nicht geladen hast. ;) (Ich glaube es hieß ftp_contract)

ist geladen: lsmod | grep ip_conntrack ip_conntrack_ftp 3664 1 ip_conntrack 16380 3 [ipt_state ip_nat_ftp iptable_nat ip_conntrack_ftp]

...

Die Firewall-Message ist dann

May 13 12:33:55 proxy kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=www.xxx.yyy.zzz DST=217.88.158.146 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=2569 DF PROTO=TCP SPT=20 DPT=1277 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B4)

Offensichtlicht block die Firewall den Datentransfer

Wie kann ich ich die Firewall überreden, die ftp-Kommunikation nicht zu blockkieren.

Mache passives ftp, dann sollte es gehen.

genau, mit ftp -p ... läufts. Danke Heiner

Am Donnerstag, 13. Mai 2004 14:32 schrieb Andreas Scherer:

Am Donnerstag, 13. Mai 2004 13:30 schrieb Heiner Kuhlmann:

...

Hallo Liste

ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.

System SuSE 8.2 mit SuSE-Firewall.

ftp auf www.xxx.yyy.zzz

www.xxx.yyy.zzz ist die Ip des ftp-Servers

ftp> ls 200 PORT command successful 425 Unable to build data connection: Connection timed out

Die Firewall-Message ist dann

May 13 12:33:55 proxy kernel: SuSE-FW-DROP-DEFAULT IN=ppp0 OUT= MAC= SRC=www.xxx.yyy.zzz DST=217.88.158.146 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=2569 DF PROTO=TCP SPT=20 DPT=1277 WINDOW=5840 RES=0x00 CWR ECE SYN URGP=0 OPT (020405B4)

Offensichtlicht block die Firewall den Datentransfer

Wie kann ich ich die Firewall überreden, die ftp-Kommunikation nicht zu blockkieren.

Lass Squid auf dem Firewallrechner laufen.

Danke Andreas, Squid läuft. Normalerweise verwende ich auch Squid. Läuft prima. Aber in diesem Fall will ich etwas auf den ftp-Server laden. Per squid ist m.E. kein put möglich. Gruß Heiner

Hi On Thursday 13 May 2004 15:22, Heiner Kuhlmann wrote:

Hallo Axel,

Am Donnerstag, 13. Mai 2004 14:47 schrieb Axel Heinrici:

...

Hi

On Thursday 13 May 2004 13:30, Heiner Kuhlmann wrote:

...

Hallo Liste

ich habe Probleme bei ftp auf einen externen Server hinter der SuSe-Firewall.

System SuSE 8.2 mit SuSE-Firewall.

Offensichtlicht block die Firewall den Datentransfer

Ganz wichtige Frage! Benutzt du nat/masquerading? Im normalen Hausgebrauch ist das ja fast immer so :-)

Nein, ftp läuft auf der Firewall. Wie jetzt? Wo ist ist die firewall wo der client? Heißt das jetzt ein Rechner fungiert als router. Und darauf ist die firewall und ein ftp-Server. Und von einem Rechner im internen Netz möchtest du auf den den ftp-server auf dem router selbst zugreifen? Sollte das der Fall sein musst du vermutlich unter 9. in der SuSEfirewall bei "FW_SERVICES_INT_TCP" "FTP" eintragen. FW_SERVICES_INT_UDP wird meines wissens nicht gebraucht, da FTP kein UDP benutzt. Will in diesem Punkt aber keine Garantie geben. Wenn ich falsch liege mit deiner Netztopologie, dann erkläre das nochmal genauer.

...

Dann kann es natürlich sein, dass die Firewalleinstellungen nicht korrekt sind. Dazu musst die dann aber selber in die Konfiguration der Firewall schauen. Ich benutze kein SuSE-Firewall.

Ich habe zwar eine Lösung mit passiven ftp. Mich würden die betreffenden Regeln für die Firewall schon interessieren.

Prinzipiell ist es folgendermaßen (Grundkenntnisse in iptables vorausgesetzt). Per Zugriff auf Port 21 öffnet man die Steuerverbindung zum FTP-server. Deswegen das FW_SERVICES_INT_TCP="FTP" auf dem Rechner mit dem ftp-server. Dank des Moduls ip_conntrack wird nun alles Weitere in dieser Verbindung von einer iptables Regel die auf --state ESTABLISHED matcht durchgelassen. Bei passivem FTP wird bei put oder get dann eine Zusätzliche Verbindung zu Port 20 am FTP-server (FTP-data) aufgemacht. Diese kann (unsauberer Weg) direkt geöffnet werden indem man Port 20 generell am server öffnet. Oder man hat das Modul ip_conntrack_ftp geladen, dann werden diese Pakete als RELATED erkannt und können von einer Regel die auf --state RELATED matcht akzeptiert werden. Für die firewall des clients gilt gleiche, nur das hier source und destination-port vertauscht sind. Bei aktivem-FTP macht der Server eine Verbindung von einem beliebigen Port zum client auf Port20 auf. Damit das funktioniert muss bei der firewall des clients ip_conntrack_ftp geladen sein. Und es muss hier eine --state RELATED Regel geben. Auf dem Server selbst muss diese neue TCP-Verbindung natürlich auch akzeptiert werden. mfg Axel