hi @ all
Ich habe ein problem mit meinem FTP Server unter Linux 8.0.
Der FTP läuft aber ich kann nur vom internen Netzwerk auf ihn zugreifen.
Meine vermutung ist, das es an der Firewall liegt aber ich hab keine ahnung wie ich das problem beheben kann.
Ich nutze die Personal-Firewall... wäre sehr dankbar wenn mir da jemand helfen könnte..
Mfg
thomas S
Linux FTP Server
-
Glitschauge
Re: Linux FTP Server
schalte doch die firewall mal ab, läuft es dann???? die pers-fw blockt nach aussen alles. für server fw2 einschalten.
bye
bye
-
thomas S
Re: Linux FTP Server
Da hab ich noch ein Problem...
Wenn ich die personal firewall abschalte geht das routing nicht mehr....also die Clients können nicht mehr ins netz..hat da jemand noch ne hilfestellung ?
Mfg
Thomas S
Wenn ich die personal firewall abschalte geht das routing nicht mehr....also die Clients können nicht mehr ins netz..hat da jemand noch ne hilfestellung ?
Mfg
Thomas S
-
demian
Re: Linux FTP Server
Dann musst Du die ftp Ports auf der Firewall NAT'en:
iptables -t NAT -A PREROUTING -i <inet_interface> -p tcp --dport 20:21 -j DNAT --to <ftp_server_ip>
iptables -t NAT -A PREROUTING -i <inet_interface> -p tcp --dport 62000:64000 -j DNAT --to <ftp_server_ip>
Die zweite Regel ist nur nötig, wenn Du passive Transfers zulassen willst. Dann musst Du in der proftpd.conf auch noch
PassivePorts 62000 64000
eintragen. (zB) Kannst natürlich auch einen anderen Bereich nehmen (evtl auch einen viel kleineren ja nach der Zahl der Verbindungen, mit denen Du auf dem Server rechnest), aber auf jeden Fall mußt Du den Bereich einschräanken, damit die Ports dann durch die Firewall gelassen werden. Ohne die Direktive PassivePorts in proftpd.conf wird dieser Port per Zufall ausgewählt und dann höchstwahrscheinlich durch die FW geblockt.
iptables -t NAT -A PREROUTING -i <inet_interface> -p tcp --dport 20:21 -j DNAT --to <ftp_server_ip>
iptables -t NAT -A PREROUTING -i <inet_interface> -p tcp --dport 62000:64000 -j DNAT --to <ftp_server_ip>
Die zweite Regel ist nur nötig, wenn Du passive Transfers zulassen willst. Dann musst Du in der proftpd.conf auch noch
PassivePorts 62000 64000
eintragen. (zB) Kannst natürlich auch einen anderen Bereich nehmen (evtl auch einen viel kleineren ja nach der Zahl der Verbindungen, mit denen Du auf dem Server rechnest), aber auf jeden Fall mußt Du den Bereich einschräanken, damit die Ports dann durch die Firewall gelassen werden. Ohne die Direktive PassivePorts in proftpd.conf wird dieser Port per Zufall ausgewählt und dann höchstwahrscheinlich durch die FW geblockt.
-
thomas S
Re: Linux FTP Server
ok Vielen Dank an alle für die Information....
Vielleicht noch ein letztes.
Wo muss ich die Firewall Naten ? Wird das einfach in die Konsole eingegeben oder brauch ich da wieder ein Programm..
thomas S
Vielleicht noch ein letztes.
Wo muss ich die Firewall Naten ? Wird das einfach in die Konsole eingegeben oder brauch ich da wieder ein Programm..
thomas S
-
thomas S
Re: Linux FTP Server
ich bins mal wieder
also ich hab des genauso eingegeben wie es weiter oben steht un dann kommt ne meldung irgend was mit token...
muss ich da vielleicht noch was ergänzen ? was soll da rein wo die <> zu sehen sind,,,
MfG
thomas S
also ich hab des genauso eingegeben wie es weiter oben steht un dann kommt ne meldung irgend was mit token...
muss ich da vielleicht noch was ergänzen ? was soll da rein wo die <> zu sehen sind,,,
MfG
thomas S
-
demian
Re: Linux FTP Server
> un dann kommt ne meldung irgend was mit token...
Soll ich das noch kommentieren???
> was soll da rein wo die <> zu sehen sind,,,
<inet_interface>: internet interface also eth0 für die erste Ethernet Karte, oder ppp0 für's erste point-to-point device. Wird wahrscheinlich letzeres sein, wenn Du DSL hast.
<ftp_server_ip>: Die (interne) IP des ftp Servers. Vielleicht 192.168.1.X wenn Du ein LAN mit Netzmaske 192.168.1.0/24 betreibst. Ich gehe mal davon aus, dass der ftp Server nicht identisch mit dem Rechner ist, auf dem die Firewall läuft. Sollte dies jedoch der Fall sein, dann mußt Du erstens Dein Sicherheitskonzept überdenken und zweitens brauchst Du dann kein NAT (network address translation), sondern dann reicht es, einfach die Ports freizuschalten:
iptables -A INPUT -i <inet_interface> -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -i <inet_interface> -p tcp --dport 62000:64000 -j ACCEPT
Soll ich das noch kommentieren???
> was soll da rein wo die <> zu sehen sind,,,
<inet_interface>: internet interface also eth0 für die erste Ethernet Karte, oder ppp0 für's erste point-to-point device. Wird wahrscheinlich letzeres sein, wenn Du DSL hast.
<ftp_server_ip>: Die (interne) IP des ftp Servers. Vielleicht 192.168.1.X wenn Du ein LAN mit Netzmaske 192.168.1.0/24 betreibst. Ich gehe mal davon aus, dass der ftp Server nicht identisch mit dem Rechner ist, auf dem die Firewall läuft. Sollte dies jedoch der Fall sein, dann mußt Du erstens Dein Sicherheitskonzept überdenken und zweitens brauchst Du dann kein NAT (network address translation), sondern dann reicht es, einfach die Ports freizuschalten:
iptables -A INPUT -i <inet_interface> -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -i <inet_interface> -p tcp --dport 62000:64000 -j ACCEPT
-
thomas S
Re: Linux FTP Server
hi
also ich hab das jetzt so in die Konsole eingegben:
iptables -A INPUT -i ppp0 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 62000:64000 -j ACCEPT
scheint auf zu gehen aber auf den FTP komm ich immer noch nicht drauf.....
Auf welche Firewall bezieht sich das ? Ich nutze unter Linux 8.0 die Personal-Firewall...
Muß ich vielleicht noch irgendwas machen um den Port freizugeben ? Bei einem Portscan zeigt er keine offenen Ports an...
Mfg
thomas S
also ich hab das jetzt so in die Konsole eingegben:
iptables -A INPUT -i ppp0 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 62000:64000 -j ACCEPT
scheint auf zu gehen aber auf den FTP komm ich immer noch nicht drauf.....
Auf welche Firewall bezieht sich das ? Ich nutze unter Linux 8.0 die Personal-Firewall...
Muß ich vielleicht noch irgendwas machen um den Port freizugeben ? Bei einem Portscan zeigt er keine offenen Ports an...
Mfg
thomas S