Hallo Liste, Ich habe auf meine Router das Problem das ich mit ftp nicht downloaden kann. Ich habe schon mehrmals versucht mit dem Ergebnis da ich nicht mehr auf den router kam ;-(( Das saagt mir die firewal , Die kanäle der ftp sind frei aber alles ??? May 12 22:15:03 router kernel: IN=eth0 OUT=ppp0 SRC=192.168.8.104 DST=213.95.15.211 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=9413 DF PROTO=TCP SPT=41433 DPT=41942 WINDOW=5840 RES=0x00 SYN URGP=0 May 12 22:15:06 router kernel: IN=eth0 OUT=ppp0 SRC=192.168.8.104 DST=213.95.15.211 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=9439 DF PROTO=TCP SPT=41433 DPT=41942 WINDOW=5840 RES=0x00 SYN URGP=0 May 12 22:15:12 router kernel: IN=eth0 OUT=ppp0 SRC=192.168.8.104 DST=213.95.15.211 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=9509 DF PROTO=TCP SPT=41433 DPT=41942 WINDOW=5840 RES=0x00 SYN URGP=0 Kann mir da jemand weiter Helfen. Grüße Patrice -- Patrice Staudt Linux System, Wintringerstraße 67,D-66271 Kleinblittersdorf Tel: 06805-3286, http://engsystem.net/
Hallo Peter, Am Dienstag, 13. Mai 2003 08:50 schrieb Peter Wiersig:
Patrice Staudt wrote:
Kann mir da jemand weiter Helfen.
Stell mal dein FTP-Programm auf den "passive" Modus um.
Wo denn ?? Ich muss aber saagen wenn ich meine router mit einer fli4l betreibe dann geht das ftp auf der Klient Seite. Das mit dem Ftp schein verfixt zu seien. Die geladene Module : router:/etc/ppp # lsmod Module Size Used by Not tainted ppp_deflate 40832 0 (autoclean) bsd_comp 4440 0 (autoclean) ppp_async 7328 0 (autoclean) ppp_generic 16504 0 (autoclean) [ppp_deflate bsd_comp ppp_async] slhc 5040 0 (autoclean) [ppp_generic] ipv6 138964 -1 (autoclean) ipt_limit 824 1 (autoclean) ipt_unclean 6712 1 (autoclean) ipt_state 568 1 (autoclean) iptable_filter 1644 1 (autoclean) ipt_MASQUERADE 1240 1 ipt_LOG 3320 1 ip_nat_irc 2480 0 (unused) ip_nat_ftp 3056 0 (unused) iptable_nat 13688 3 [ipt_MASQUERADE ip_nat_irc ip_nat_ftp] ip_conntrack_irc 2496 0 (unused) ip_conntrack_ftp 3456 0 (unused) ip_conntrack 14140 4 [ipt_state ipt_MASQUERADE ip_nat_irc ip_nat_ftp iptable_nat ip_conntrack_irc ip_conntrack_ftp] ip_tables 11576 9 [ipt_limit ipt_unclean ipt_state iptable_filter ipt_MASQUERADE ipt_LOG iptable_nat] router:/etc/ppp # Die Abschnitte der Firewall sind /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc /sbin/modprobe ipt_LOG /sbin/modprobe ipt_MASQUERADE echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr # # Masquering enable forwarding $IPT -t nat -A POSTROUTING -o ppp0 -s $LAN -j MASQUERADE # # default policy $IPT -P FORWARD DROP $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT # # Ungueltige Pakete abweisem $IPT -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP $IPT -A INPUT -m unclean -j DROP $IPT -t nat -A PREROUTING -i ppp0 -s 192.168.8.0/24 -j DROP $IPT -t nat -A PREROUTING -i ppp0 -s 172.16.0.0/12 -j DROP $IPT -t nat -A PREROUTING -i ppp0 -s 127.0.0.0/8 -j DROP $IPT -t nat -A PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP $IPT -A FORWARD -i ppp0 -s 192.168.8.0/24 -j DROP $IPT -A FORWARD -i ppp0 -s 172.16.0.0/12 -j DROP $IPT -A FORWARD -i ppp0 -s 127.0.0.0/8 -j DROP $IPT -A FORWARD -i ppp0 -s 10.0.0.0/8 -j DROP # # Nur DNS frage zum und Vom Providier Zulassen $IPT -A FORWARD -i eth0 -p TCP --dport 53 -j ACCEPT $IPT -A FORWARD -i eth0 -p UDP --dport 53 -j ACCEPT $IPT -A FORWARD -i ppp0 -p TCP --sport 53 -j ACCEPT $IPT -A FORWARD -i ppp0 -p UDP --sport 53 -j ACCEPT # # SSH Offnung um mit ssh sich einzulogen von aussen $IPT -A INPUT -p tcp --dport 22 -j ACCEPT # # SMTP POP zum Mailserver erlauben $IPT -A FORWARD -i eth0 -p TCP --dport 25 -j ACCEPT $IPT -A FORWARD -i ppp0 -p TCP --sport 25 -j ACCEPT $IPT -A FORWARD -i eth0 -p TCP --dport 110 -j ACCEPT $IPT -A FORWARD -i ppp0 -p TCP --sport 110 -j ACCEPT # wwwoffle als transparenter Proxy in der DMZ $IPT -A FORWARD -i eth0 -p TCP --dport 80 -j ACCEPT $IPT -A FORWARD -i ppp0 -p TCP --sport 80 -j ACCEPT $IPT -A FORWARD -i eth0 -p TCP --dport 443 -j ACCEPT $IPT -A FORWARD -i ppp0 -p TCP --sport 443 -j ACCEPT # # ftp port 21 ftp-data 20 # ------------------------------------------------------------------------------------- $IPT -A FORWARD -i eth0 -p TCP --dport 20 -j ACCEPT $IPT -A FORWARD -i ppp0 -p TCP --sport 20 -j ACCEPT $IPT -A FORWARD -i eth0 -p TCP --dport 21 -j ACCEPT $IPT -A FORWARD -i ppp0 -p TCP --sport 21 -j ACCEPT Sollte gehen oder ?? Kann mir da jemand auf die Sprunge helfen -- Patrice Staudt Linux System, Wintringerstraße 67,D-66271 Kleinblittersdorf Tel: 06805-3286, http://engsystem.net/
Patrice Staudt wrote:
Am Dienstag, 13. Mai 2003 08:50 schrieb Peter Wiersig:
Patrice Staudt wrote:
Kann mir da jemand weiter Helfen.
Stell mal dein FTP-Programm auf den "passive" Modus um.
Wo denn ??
Haengt von deiner Applikation ab. Im Kommandozeilen ftp einfach "passive" eingeben.
# Masquering enable forwarding $IPT -t nat -A POSTROUTING -o ppp0 -s $LAN -j MASQUERADE
# ftp port 21 ftp-data 20 $IPT -A FORWARD -i ppp0 -p TCP --sport 20 -j ACCEPT $IPT -A FORWARD -i eth0 -p TCP --dport 21 -j ACCEPT $IPT -A FORWARD -i ppp0 -p TCP --sport 21 -j ACCEPT
Sollte gehen oder ?? Kann mir da jemand auf die Sprunge helfen
Die FTP-Verbindung wird maskiert. Dadurch ist die lokale Portnummer nicht 20 oder 21, sondern 42... Probier mal "$IPT -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT" mit einzufuegen. Peter
Hallo Peter, Vielen Dank
Haengt von deiner Applikation ab. Im Kommandozeilen ftp einfach "passive" eingeben. Über den Konqueror habe ich noch Problem aber opera und Mozilla gehen.
# Masquering enable forwarding $IPT -t nat -A POSTROUTING -o ppp0 -s $LAN -j MASQUERADE
# ftp port 21 ftp-data 20 $IPT -A FORWARD -i ppp0 -p TCP --sport 20 -j ACCEPT $IPT -A FORWARD -i eth0 -p TCP --dport 21 -j ACCEPT $IPT -A FORWARD -i ppp0 -p TCP --sport 21 -j ACCEPT
Sollte gehen oder ?? Kann mir da jemand auf die Sprunge helfen
Sollte ftp nicht über die Firewall dann lassen ich aber nicht durch. Wie testet man am Besten seine Firewall ??
Die FTP-Verbindung wird maskiert. Dadurch ist die lokale Portnummer nicht 20 oder 21, sondern 42...
Das war es ,
Probier mal "$IPT -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT" mit einzufuegen.
Das war es . Kannst du mir es biite erklären. Vielen Dank Viele Grüße Patrice -- Patrice Staudt Linux System, Wintringerstraße 67,D-66271 Kleinblittersdorf Tel: 06805-3286, http://engsystem.net/
Patrice Staudt wrote:
Probier mal "$IPT -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT" mit einzufuegen.
Das war es . Kannst du mir es biite erklären.
Also die Log-Zeilen, die du gepostet hast enthielten weder port 20 noch port 21. Das heisst, das das Maskieren funktioniert haben muss. Der Kernel lehnte die Pakete ab, weil die Port-Nummern nicht mehr passen. Die neueingefuegte Regel sorgt dafuer, das die Pakete wieder die PORTROUTING Regel erreichen und zugeordnet werden koennen. http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-5.html Peter
participants (2)
-
Patrice Staudt
-
Peter Wiersig