so ein Mist,
ich nutze noch ipchains.
Die Regeln entsprechen den Regeln die man so in diversen Anleitungen findet.
Allerdings läuft pass. Ftp einfach nicht.
An der Firewall werden dann immer Pakete abgefangen die in etwa so aussehen:(Adressen geändert)
Jul 31 12:38:57 fw kernel: Packet log: input - eth0 PROTO=6 212.233.134.50:1482 209.10.41.242:49446 L=48 S=0x00 I=12118 F=0x4000 T=128 SYN (#44)
Wobei die Verbindung versucht wird vom Client von einen hohen Port zu einen hohen Port eine Verbindung aufzubauen???
Nix Port 20 oder so.
Es sind auch jedesmal verschiedene Ports.
Wie bringe ich das jetzt der Firewall bei???
Aktives FTP klappt dagegen ohne Probleme dort scheint er sich an Port 20 und 21 zu halten.
Ich oute mich, ich bin zu blöd dazu.... denn ich kapier es nicht.
passive ftp über Firewall....
Re: passive ftp über Firewall....
dafür müsste es auch ein modul geben (bin mir nicht sicher)
masquerading geht zwar mit ipchains dank vieler module sehr gut, aber als paketfilter isses nicht so toll
masquerading geht zwar mit ipchains dank vieler module sehr gut, aber als paketfilter isses nicht so toll
Last edited by ronny on 31. Jul 2001 17:50, edited 1 time in total.
-
danm
Re: passive ftp über Firewall....
Solltest du Betreiber eines FTP-Servers sein (was aus deinem Text nicht hervorgeht) hast du das gleiche Problem wie tausend andere FTP-Admins.
Benutzt du FTP allerdings nur Clientseitig solltest du dir dieses Modul anschauen:
ip_masq_ftp
(Welches aber eigentlich für aktive Übertragungen gedacht ist)
Benutzt du FTP allerdings nur Clientseitig solltest du dir dieses Modul anschauen:
ip_masq_ftp
(Welches aber eigentlich für aktive Übertragungen gedacht ist)
-
Max
Re: passive ftp über Firewall....
sorry, hatte ich nicht gepostet.
Nein, ich bin nicht der Betreiber eines FTP-Server sondern setze (versuche es) gerade einen Router auf.
Jepp, ich weiss es gibt ftp Module für das Masquerading, aber ich darf nicht Maskieren.
Der Verkehr geht nur durch. Bzw. ich will ihn, wenn möglich, transparent durch Squid schicken.
Mit Http klappt es ganz gut, nur bei ftp scheitere ich schon daran das der Client von hohen Ports auf _hohe_ Zielports eine Verbindung aufbauen will.
Diese Ports sind nicht vorhersagbar, wie soll dann bitte die Paketfilter Regel aussehen???
Dann kann ich auch alles von Client-Seite her erlauben, was IMHO Bullshit ist, denn es öffnet für evt. Trojaner alle Tore.
IMO kann es dafür keine vernünftige Filter-Regel geben oder ich kapiere Passive FTP nicht oder alle Paketfilter machen sich keine Arbeit und lassen Clientseitig alles zu.
Ich stecke in einer Zwickmühle aus der ich nicht rauskomme ohne eklige Kompromisse einzugehen. (Kein pass. Ftp oder alles aufmachen)
Ich hoffe ich habe nur einen Denkfehler.
Danke und Gruss Max
Nein, ich bin nicht der Betreiber eines FTP-Server sondern setze (versuche es) gerade einen Router auf.
Jepp, ich weiss es gibt ftp Module für das Masquerading, aber ich darf nicht Maskieren.
Der Verkehr geht nur durch. Bzw. ich will ihn, wenn möglich, transparent durch Squid schicken.
Mit Http klappt es ganz gut, nur bei ftp scheitere ich schon daran das der Client von hohen Ports auf _hohe_ Zielports eine Verbindung aufbauen will.
Diese Ports sind nicht vorhersagbar, wie soll dann bitte die Paketfilter Regel aussehen???
Dann kann ich auch alles von Client-Seite her erlauben, was IMHO Bullshit ist, denn es öffnet für evt. Trojaner alle Tore.
IMO kann es dafür keine vernünftige Filter-Regel geben oder ich kapiere Passive FTP nicht oder alle Paketfilter machen sich keine Arbeit und lassen Clientseitig alles zu.
Ich stecke in einer Zwickmühle aus der ich nicht rauskomme ohne eklige Kompromisse einzugehen. (Kein pass. Ftp oder alles aufmachen)
Ich hoffe ich habe nur einen Denkfehler.
Danke und Gruss Max