Problem mit ftp hinter masquerading
Hallo, bei mir betreibt ein Rechner mit SuSE 7.1 IP-masquerading für das dahinterhängende Minimalnetz. Bisher funktionierteen ftp-Zugriffe auf irgendwelche Rechner auch problemlos, sofern ich halt den passive mode anschaltete, was kein Problem darstellte. Nun hat mein lieber neuer Mitbewohner seinen Win98-Rechner auch angeklemmt und kann sich mit einem bestimmten ftp-Server nicht verbinden. Dieser ftp-Server (proFTP) läuft auf Port 90 und scheint Port-forwarding zu einem dahinter liegenden NT-Rechner zu machen, jedenfalls sieht man, daß er einen Rechner im 192.168.er-Bereich anpricht. Hier der anonymisierte Verbindungsversuch mit ws-ftp von Windows aus (n,m,x,y Element von [0..255]): connecting to 195.185.x.y:90 Connected to 195.185.x.y port 90 220 bla-server Microsoft FTP Service (Version 5.0). USER benutzer 331 Password required for benutzer. PASS (hidden) 230-FTP Zugang Bla-Seite 230 User benutzer logged in. PWD 257 "/" is current directory. SYST 215 Windows_NT version 5.0 Host type (S): Microsoft NT PASV 227 Entering Passive Mode (192,168,n,m,4,14). connecting to 192.168.n.m:1038 - - connecting to 192.168.n.m:1038 Ab hier passiert dann gar nichts mehr. WARUM? Telefonisch haben wir geklärt, daß jemand anders zur gleichen Zeit problemlos (mit identischen Einstellungen in ws-ftp) auf den Server zugreifen kann. Am entfernten Netz/Server können wir leider nichts ändern. Ich habe keine Firewallregeln gesetzt (außer Port 137-139 ein- und ausgehend, sowie Port 25 und 3128 eingehend gesperrt) (Ist mau, ich weiß...). Sonst geht auch alles, nur dieser eine blöde Server nicht, und an dem muß mein Freund leider dringend arbeiten. Er droht schon fast, wieder bei mir auszuziehen. Hilfe! Fällt jemandem irgendein Brett vor meinem Kopf auf, das ich leicht beseitigen könnte? Oder bin ich gezwungen mich mit solchen Sachen wie Socks5-Proxies oder so auseinanderzusetzen, was ich eigentlich vermeiden wollte. Wäre port-forwarding auf meiner Seite ein Lösungsansatz? Meines Wissens nach nicht, da für die Rückantwort ja jedesmal ein beliebiger anderer nicht-priviligierter Port genommen wird, oder? Gruss, Antje -- Antje M. Bendrich list@bendrich.de http://www.bendrich.de
Hi, On Dienstag, November 06, 2001 at 18:21:33, Antje Bendrich wrote:
bei mir betreibt ein Rechner mit SuSE 7.1 IP-masquerading für das dahinterhängende Minimalnetz. Bisher funktionierteen ftp-Zugriffe auf irgendwelche Rechner auch problemlos, sofern ich halt den passive mode anschaltete, was kein Problem darstellte.
Nun hat mein lieber neuer Mitbewohner seinen Win98-Rechner auch angeklemmt und kann sich mit einem bestimmten ftp-Server nicht verbinden. Dieser ftp-Server (proFTP) läuft auf Port 90 und scheint Port-forwarding zu einem dahinter liegenden NT-Rechner zu machen, jedenfalls sieht man, daß er einen Rechner im 192.168.er-Bereich anpricht.
Hier der anonymisierte Verbindungsversuch mit ws-ftp von Windows aus (n,m,x,y Element von [0..255]):
connecting to 195.185.x.y:90 Connected to 195.185.x.y port 90 220 bla-server Microsoft FTP Service (Version 5.0). USER benutzer 331 Password required for benutzer. PASS (hidden) 230-FTP Zugang Bla-Seite 230 User benutzer logged in. PWD 257 "/" is current directory. SYST 215 Windows_NT version 5.0 Host type (S): Microsoft NT PASV 227 Entering Passive Mode (192,168,n,m,4,14). connecting to 192.168.n.m:1038 - - connecting to 192.168.n.m:1038
Ab hier passiert dann gar nichts mehr. WARUM?
Weil der ftp server die antwort nicht zu dir schickt sondern zu der 192er adresse (wahrscheinlich der rechner der vor dem ftp das NAT macht.)
Telefonisch haben wir geklärt, daß jemand anders zur gleichen Zeit problemlos (mit identischen Einstellungen in ws-ftp) auf den Server zugreifen kann.
Am entfernten Netz/Server können wir leider nichts ändern. Ich habe keine Firewallregeln gesetzt (außer Port 137-139 ein- und ausgehend, sowie Port 25 und 3128 eingehend gesperrt) (Ist mau, ich weiß...). Sonst geht auch alles, nur dieser eine blöde Server nicht, und an dem muß mein Freund leider dringend arbeiten. Er droht schon fast, wieder bei mir auszuziehen. Hilfe!
SCNR. Wenn ihr dir deswegen droht ist ers nicht wert ;)
Fällt jemandem irgendein Brett vor meinem Kopf auf, das ich leicht beseitigen könnte?
http://www.daemonnews.org/200109/ftpnat.html
Oder bin ich gezwungen mich mit solchen Sachen wie Socks5-Proxies oder so auseinanderzusetzen, was ich eigentlich vermeiden wollte.
Wenn du nix an der anderen Seite drehen kannst wirst du dadrum nich rumkommen.
Wäre port-forwarding auf meiner Seite ein Lösungsansatz? Meines Wissens nach nicht, da für die Rückantwort ja jedesmal ein beliebiger anderer nicht-priviligierter Port genommen wird, oder?
Genauso ist es. Eine sehr gute Lösung für ftp hinter NAT ist die SuSE Proxy Suite. Das ist ein Application Level ftp proxy. Das Paket heißt proxy-suite. Description : FTP-Proxy relays FTP connections in a secure way between clients and servers. It provides security features like command restriction, argument scanning and port ranges. User actions can easily be audited. FTP-Proxy is fully RFC 959, 1123, 1579 and 2428 compliant. Henne -- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de I am Jack's raging bile duct. # fightclub sigs made with fortune
Hi, Henne Vogelsang schrieb am 06.11.2001 19:11:27:
On Dienstag, November 06, 2001 at 18:21:33, Antje Bendrich wrote:
Nun hat mein lieber neuer Mitbewohner seinen Win98-Rechner auch angeklemmt und kann sich mit einem bestimmten ftp-Server nicht verbinden. Dieser ftp-Server (proFTP) läuft auf Port 90 und scheint Port-forwarding zu einem dahinter liegenden NT-Rechner zu machen, jedenfalls sieht man, daß er einen Rechner im 192.168.er-Bereich anpricht.
connecting to 192.168.n.m:1038
Ab hier passiert dann gar nichts mehr. WARUM?
Weil der ftp server die antwort nicht zu dir schickt sondern zu der 192er adresse (wahrscheinlich der rechner der vor dem ftp das NAT macht.)
Eher aus akademischem Interesse, ich habe also ungefähr folgendes Szenario: ----- ----------- |Win98| --- |mein Router| ----- ----------- | | [Internet] | ------------------------ |angesprochene IP Port 90| ------------------------ | | (portforwarding ins interne Netz) | ------------------------- |NT-Rechner mit ftp-Server| |ohne öff. IP-Adresse | ------------------------- Wieso hängt es davon ab, ob *ich* masquerading betreibe, ob der Rechner im anderen internen Netz seine Pakete bis zu mir oder nur bis zu *seinem* maskierenden Rechner bekommt? Denn bei direkter Verbindung des Win98-Rechners ist alles kein Problem.
ich weiß...). Sonst geht auch alles, nur dieser eine blöde Server nicht, und an dem muß mein Freund leider dringend arbeiten. Er droht schon fast, wieder bei mir auszuziehen. Hilfe!
SCNR. Wenn ihr dir deswegen droht ist ers nicht wert ;)
So ganz ernst gemeint war das mit dem Ausziehen auch nicht. Ich versuche nur schon die ganze Zeit, ihn von den Vorteilen von Linux zu überzeugen, und dann kommt er hier an und alles mögliche geht nicht :-(
Fällt jemandem irgendein Brett vor meinem Kopf auf, das ich leicht beseitigen könnte?
Prima Info, danke!
Genauso ist es. Eine sehr gute Lösung für ftp hinter NAT ist die SuSE Proxy Suite. Das ist ein Application Level ftp proxy. Das Paket heißt proxy-suite.
Werde ich mir ebenfalls ansehen. Dankeschön! Gruss, Antje -- Antje M. Bendrich list@bendrich.de http://www.bendrich.de
Hi, On Dienstag, November 06, 2001 at 23:42:49, Antje Bendrich wrote:
Henne Vogelsang schrieb am 06.11.2001 19:11:27:
On Dienstag, November 06, 2001 at 18:21:33, Antje Bendrich wrote:
connecting to 192.168.n.m:1038
Ab hier passiert dann gar nichts mehr. WARUM?
Weil der ftp server die antwort nicht zu dir schickt sondern zu der 192er adresse (wahrscheinlich der rechner der vor dem ftp das NAT macht.)
Eher aus akademischem Interesse, ich habe also ungefähr folgendes Szenario:
----- ----------- |Win98| --- |mein Router| ----- ----------- | | [Internet] | ------------------------ |angesprochene IP Port 90| ------------------------ | | (portforwarding ins interne Netz) | ------------------------- |NT-Rechner mit ftp-Server| |ohne öff. IP-Adresse | -------------------------
Wieso hängt es davon ab, ob *ich* masquerading betreibe, ob der Rechner im anderen internen Netz seine Pakete bis zu mir oder nur bis zu *seinem* maskierenden Rechner bekommt? Denn bei direkter Verbindung des Win98-Rechners ist alles kein Problem.
Es hängt nicht nur davon ab on du NAT machst sonder ob beide NAT machen. Wenn du das vom router machst geht es. Wenn er seinen ftp server auf den rechner mit dem portforwarding macht und das portforwarding weglässt geht es auch. Das ftp protokoll hat da so seine tücken hat. PORT ist einfach nur evil.
ich weiß...). Sonst geht auch alles, nur dieser eine blöde Server nicht, und an dem muß mein Freund leider dringend arbeiten. Er droht schon fast, wieder bei mir auszuziehen. Hilfe!
SCNR. Wenn ihr dir deswegen droht ist ers nicht wert ;)
So ganz ernst gemeint war das mit dem Ausziehen auch nicht. Ich versuche nur schon die ganze Zeit, ihn von den Vorteilen von Linux zu überzeugen, und dann kommt er hier an und alles mögliche geht nicht :-(
Das hat nix mit linux zu tun. Mach das mit win dosen und es geht auch nich. Liegt an ftp.
Fällt jemandem irgendein Brett vor meinem Kopf auf, das ich leicht beseitigen könnte?
Prima Info, danke!
Ja da sehr auführlich beschrieben das problem. Nur das es ein paar linux lösungen gibt ham sie noch nich mitbekommen ;) Henne -- Hendrik Vogelsang aka Henne mailto: hvogel@hennevogel.de I am Jack's complete lack of surprise. # fightclub sigs made with fortune
Hallo,
Antje Bendrich writes:
Hi,
Henne Vogelsang schrieb am 06.11.2001 19:11:27:
On Dienstag, November 06, 2001 at 18:21:33, Antje Bendrich wrote:
Nun hat mein lieber neuer Mitbewohner seinen Win98-Rechner auch angeklemmt und kann sich mit einem bestimmten ftp-Server nicht verbinden. Dieser ftp-Server (proFTP) läuft auf Port 90 und scheint Port-forwarding zu einem dahinter liegenden NT-Rechner zu machen, jedenfalls sieht man, daß er einen Rechner im 192.168.er-Bereich anpricht.
connecting to 192.168.n.m:1038
Ab hier passiert dann gar nichts mehr. WARUM?
Bescheidene Frage, du hast das Modul ip_masq_ftp geladen ? -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo, * On Wed, Nov 07, 2001 at 09:50 AM (+0100), Dieter Kluenter wrote:
Bescheidene Frage, du hast das Modul ip_masq_ftp geladen ?
Wenn sie passives FTP macht, dann sollte das Modul ja eigentlich nicht noetig sein, da ja keine vom Server initiierte Connection hereinkommt. Ich vermute eher, dass der Betreiber des FTP-Servers ein Problem mit passivem FTP hat (so wie es "problematischer" ist, einen FTP-Client mit aktivem FTP hinter einer maskierenden Firewall zu betreiben, genau so ist es "schwieriger" einen FTP-Client mit passivem FTP hinter einer maskierenden Firewall zu betreiben). Seltsam aber, dass der Zugriff von einem anderen Client aus funktioniert unter Verwendung identischer WS_FTP-Einstellungen. Mein Vorschlag waere, wenn Antje an ihrem Gateway das FTP-Masquerading- Modul laedt und dann mit aktivem FTP einen Versuch unternimmt. Viele Gruesse, Steffen
Hallo, Am Dienstag, 6. November 2001 um 18:21 schrieb Antje Bendrich,
Nun hat mein lieber neuer Mitbewohner seinen Win98-Rechner auch angeklemmt und kann sich mit einem bestimmten ftp-Server nicht verbinden. Dieser ftp-Server (proFTP) läuft auf Port 90 und scheint wie kommst Du auf ProFTPD ?
220 bla-server Microsoft FTP Service (Version 5.0). [...]
nicht, und an dem muß mein Freund leider dringend arbeiten. Er droht schon fast, wieder bei mir auszuziehen. Hilfe! das wollen wir doch nicht hoffen ;-)
Wäre port-forwarding auf meiner Seite ein Lösungsansatz? Meines Wissens nach nicht, da für die Rückantwort ja jedesmal ein beliebiger anderer nicht-priviligierter Port genommen wird, oder? a) kannst Du denn vom Router auf den besagten FTP zugreifen ? b) es gibt ja spezielle Masquerading Module für FTP c) ich würde mal auf dem Windows Rechner ne DOS Box aufmachen und per ftp <ip> direkt drauf verbinden. Wenn Du drin bist, dann mach mal "pasv" oder "help" und schau Dir das an. Es kann ja sein, daß der Client irgendwie nicht das richtige Mittel findet.
cu stonki
Hi, Stefan Onken schrieb am 06.11.2001 19:28:25:
Am Dienstag, 6. November 2001 um 18:21 schrieb Antje Bendrich,
Nun hat mein lieber neuer Mitbewohner seinen Win98-Rechner auch angeklemmt und kann sich mit einem bestimmten ftp-Server nicht verbinden. Dieser ftp-Server (proFTP) läuft auf Port 90 und scheint wie kommst Du auf ProFTPD ?
220 bla-server Microsoft FTP Service (Version 5.0). [...]
Sorry, habe die Mail zu schnell geschrieben, ist natürlich Quatsch. Auf dem öffentlich ansprechbaren Rechner lauscht auf Port 21 ein ProFTPD, mit dem mein Freund nix zu tun hat. Port 90 wird ins interne Netz zu einer NT-Kiste weitergeleitet.
a) kannst Du denn vom Router auf den besagten FTP zugreifen ?
Ja, problemlos.
b) es gibt ja spezielle Masquerading Module für FTP
Muß ich mir nochmal ansehen.
c) ich würde mal auf dem Windows Rechner ne DOS Box aufmachen und per ftp <ip> direkt drauf verbinden.
Das scheitert daran, daß ich nicht rausfinden kann, wie man dem DOS-ftp eine Portangabe mitgibt. Traurig. Danke für Deine Hilfe, Gruss, Antje -- Antje M. Bendrich list@bendrich.de http://www.bendrich.de
Antje Bendrich writes:
Hallo,
bei mir betreibt ein Rechner mit SuSE 7.1 IP-masquerading für das dahinterhängende Minimalnetz. Bisher funktionierteen ftp-Zugriffe auf irgendwelche Rechner auch problemlos, sofern ich halt den passive mode anschaltete, was kein Problem darstellte.
Nun hat mein lieber neuer Mitbewohner seinen Win98-Rechner auch angeklemmt und kann sich mit einem bestimmten ftp-Server nicht verbinden. Dieser ftp-Server (proFTP) läuft auf Port 90 und scheint Port-forwarding zu einem dahinter liegenden NT-Rechner zu machen, jedenfalls sieht man, daß er einen Rechner im 192.168.er-Bereich anpricht. [...]
Wie sehen deine forward Regeln aus ? bei mir z.B.u.a. ipchains -A forward -s $LOCALNET -i $INETDEV -j MASQ ipchains -A forward -s $LOCALNET 1024: --dport 20 -p tcp -i $INETDEV \n -j ACCEPT ! -y Was ich sagen will, neben dem Masquerading muss auch forwarding fuer FTP geregelt werden, und zwar auf allen Devices. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
* Dienstag, 06. November 2001 um 18:21 (+0100) schrieb Antje Bendrich:
Nun hat mein lieber neuer Mitbewohner seinen Win98-Rechner auch angeklemmt und kann sich mit einem bestimmten ftp-Server nicht verbinden. Dieser ftp-Server (proFTP) läuft auf Port 90 und scheint Port-forwarding zu einem dahinter liegenden NT-Rechner zu machen, jedenfalls sieht man, daß er einen Rechner im 192.168.er-Bereich anpricht.
[ ... ] 227 Entering Passive Mode (192,168,n,m,4,14). connecting to 192.168.n.m:1038 - - connecting to 192.168.n.m:1038
Bist du sicher, dass "192.168.n.m" nicht die IP _eures_ Win98-Clients
ist?
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
participants (6)
-
Andreas Koenecke
-
Antje Bendrich
-
Dieter Kluenter
-
Henne Vogelsang
-
Stefan Onken
-
Steffen Moser