FTP Server iptables

Message

Kaiserpinguin · #1 Post by **Kaiserpinguin** » 23. Jul 2007 19:31

Hallo Zusammen,

ich würde gerne wissen,ob es korrekt ist, was ich gemacht habe:
Ich würde gerne einen FTP-Server einrichten und zwar vsftpd. Ich habe folgendes gemacht

Code: Select all

iptables -A INPUT -p tcp --sport 20&#58;21 -j ACCEPT

Dazu habe ich:

Code: Select all

modprobe ip_conntrack_ftp

eingerichtet.

Ich muss sagen, dass der Server in der DMZ sitzt. Das heisst, ich kriege die IP-Adresse des WAN.
Trotzdem kann ich mich nicht mit dem FTP-Server verbinden. Nur bei localhost klappt die Verbindung.
Danke im voraus.

Janka · #2 Post by **Janka** » 24. Jul 2007 9:54

Nicht eher dport?

Janka

Kaiserpinguin · #3 Post by **Kaiserpinguin** » 24. Jul 2007 14:10

Danke für die Antwort aber es hat nicht geholfen. Noch eine andere Idee? Wie gesagt ich habe die Adresse des Typs 80.202...... , also eine WAN-Adresse in der DMZ (nach Angabe des Routers)

Kaiserpinguin · #4 Post by **Kaiserpinguin** » 24. Jul 2007 15:47

so, jetzt habe ich diese Idee verworfen und etwas anderes versucht. Hier ist der FTP-Server nicht mehr als DMZ sondern im LAN

Code: Select all

iptables -A INPUT -p tcp -d 10.0.0.2 --dport 20&#58;21 -j ACCEPT

und

Code: Select all

iptables -A FORWARD -i ath0 -p tcp --dport 21 -d 10.0.0.2 -j ACCEPT

Code: Select all

 iptables -t nat -A PREROUTING -i ath0 -p tcp --dport 21 -j DNAT \--to 10.0.0.2&#58;21

Code: Select all

 iptables -t nat -A PREROUTING -i ath0 -p tcp --dport 20 -j DNAT \--to 10.0.0.2&#58;20

Diese 3 Schritte nach Angaben aus folgender Seite:

http://web.mit.edu/rhel-doc/4/RH-DOCS/r ... t-fwd.html

Hier habe ich zwar eine Verbindung aber nicht mehr mit dem Ordner des FTP-Users sondern habe ich herausgefunden, dass er nach dem User des Routers fragt. Wenn ich das zusammen mit dem Passwort eingebe, dann kriege ich als Antwort: OK.

aber halt keine Verbindung mit dem Ordner des FTP-Users

Kaiserpinguin · #5 Post by **Kaiserpinguin** » 24. Jul 2007 16:46

ich muss auch dazu sagen, dass ich eigentlich hinter 2 Router bin und die Sache ein bisschen komplizierter macht.

PC >> WLAN-Router (agiert als Switch, da kein DHCP-Server aktiv. Firewall ist deaktiviert aber 10.0.0.2 ist frei für die Ports 20,21) >>>Router/Modem.

Beide besitzen Firewalls aber sind derzeit deaktiviert. Beim Modem/Router wurde auch die Adresse 10.0.0.2 an die Applikation (FTP-Server) gebunden.
Trotzdem wird immer noch nach dem User des Routers gefragt und nicht nach dem FTP-Users.

Kaiserpinguin · #6 Post by **Kaiserpinguin** » 24. Jul 2007 18:43

also, hier habe ich auch folgendes versucht:

Code: Select all

iptables -A INPUT -p tcp -d 10.0.0.2 --dport 20&#58;21 j ACCEPT

Code: Select all

iptables -A OUTPUT -p tcp -s 10.0.0.2 --sport 20&#58;21 j ACCEPT

Es klappt aber auch nicht. Vorschläge??? Danke.

Kaiserpinguin · #7 Post by **Kaiserpinguin** » 24. Jul 2007 21:15

so, jetzt ist gegangen

ich habe nochmals versucht mit der DMZ zu arbeiten. Das heisst, dass der Rechner die WAN-IP bekommt und nur musste ich folgende Zeile als root ausführen.

Code: Select all

iptables -A INPUT -p tcp -i eth0 -m multiport -dport 20,21 -j ACCEPT

Falls die Verbindung über einen WLAN-Router läuft, dann musst ihr eth0 mit ath0 ersetzen.

Viel Spass!!