aktives FTP über eine Firewall
Hallo Liste! Ich habe mir da Heim eine Firewall aufgebaut, die ins Internet geht und über die alle Leute im LAN surfen können. Das surfen an sich funktioniert auch ganz gut allerdings das FTP nicht! Ich habe SuSE 6.2 und das aktive FTP nach einer Anleitung aus einer c't (ich glaube 17/99) eingestellt und auch das modul "ip_masq_ftp" ist geladen. Mit einem Packet Sniffer (ethereal) habe ich das ganze beobachtet und festgestellt, dass die anfragen von den Rechnern im LAN über port 21 funktionieren, jedoch wenn dann der Server im Internet versucht über port 20 eine Verbindung aufzubauen scheitert das ganze an der Firewall. D.H die Anfrage kommt bis an die Firewall heran, wird dann aber nicht ins LAN weitergeleitet. Hat jemand eine Idee? Ciao Jan --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Thu, May 11, 2000 at 04:41:01PM +0200, Lockenvitz Jan wrote:
Hallo Liste!
Hi Jan ! [...]
dass die anfragen von den Rechnern im LAN über port 21 funktionieren, jedoch wenn dann der Server im Internet versucht über port 20 eine Verbindung aufzubauen scheitert das ganze an der Firewall. D.H die Anfrage kommt bis an die Firewall heran, wird dann aber nicht ins LAN weitergeleitet.
Hat jemand eine Idee?
Gib doch den Port 20 auf der Firewall frei ! Soll heissen, alle eingehenden Verbindungen aus dem Internet mit Source Port 20 durchlassen, und fettich is ! bye Marc -- Bist auch Du ein Pullunderträger ?? Dann komm zu ==> http://beam.at/cancerman registered Linux User #165939 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Marc Richter wrote:
Gib doch den Port 20 auf der Firewall frei !
Soll heissen, alle eingehenden Verbindungen aus dem Internet mit Source Port 20 durchlassen, und fettich is !
Wäre evtl eine Möglichkeit. Aber damit reißt Du eine dicke Sicherheitslücke auf: Ein Angreifer aus dem Internet braucht nur als Quellport 20 benutzen, und hat zugriff auf sämtliche Ports (evtl. nur > 1024). Verzichte lieber auf aktives ftp. Was ist den daran so schwer einam "passiv" einzutippen ? -- __ _ Raymond Häb, ray.haeb@gmx.net, cologne, germany / / (_)__ __ ____ __ / /__/ / _ \/ // /\ \/ / . . . t h e c h o i c e o f a /____/_/_//_/\_,_/ /_/\_\ G N U g e n e r a t i o n . . . --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Fri, 12 May 2000, Raymond Haeb wrote:
Soll heissen, alle eingehenden Verbindungen aus dem Internet mit Source Port 20 durchlassen, und fettich is !
Wäre evtl eine Möglichkeit. Aber damit reißt Du eine dicke Sicherheitslücke auf: Ein Angreifer aus dem Internet braucht nur als Quellport 20 benutzen, und hat zugriff auf sämtliche Ports (evtl. nur > 1024). Verzichte lieber auf aktives ftp. Was ist den daran so schwer einam "passiv" einzutippen ?
a) man gibt gezielt IP-Adressen frei b) man nimmt einen ftp-proxy (oder auch squid) c) oder man macht eine DMZ ;) Mit freundlichen Grüßen, Joerg Henner. -- LinuxHaus Stuttgart | Tel.: +49 (7 11) 2 85 19 05 Jörg Henner & Adrian Reyer, Datentechnik GbR | D2: +49 (1 72) 7 35 31 09 | Fax: +49 (7 11) 5 78 06 92 Linux, Netzwerke, Webhosting & Support | http://lihas.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Lockenvitz Jan wrote:
Ich habe SuSE 6.2 und das aktive FTP nach einer Anleitung aus einer c't (ich glaube 17/99) eingestellt und auch das modul "ip_masq_ftp" ist geladen.
Ich vermute, dass die Ursache Deines Problems in einem Fehler von c't liegt. In der naechsten Ausgabe gab es einen Leserbrief: ... In dem Kasten "Regeln fuer aktives FTP" hat sich ein kleiner Fehler eingeschlichen. In der vorletzten Regel ist als Sprungziel ACCEPT angegeben, dort muesste aber MASQ stehen. ... Das sollte Dir weiterhelfen! Gruss, Steffen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
jan.lockenvitz@icn.siemens.de -
jhe@lihas.de -
moser@egu.schule.ulm.de -
MRichter@ahrens.de -
ray.haeb@gmx.net