Probleme mit FTP durch iptables

[slkzone]

Hallo zusammen

Ich habe einen Firewall Server mit einer Offiziellen IP. Hinter der Firewall befindet sich mein Privates Netzwerk.Mein FTP Server hat auch eine IP aus dem privaten Adressraum. Ich will das mein FTP Server aus dem Internet erreichbar ist, und das mache ich anhand der Iptables Regeln. Dies ist die Regel für FTP:

FTP=192.168.0.8

iptables -A FORWARD eth0 -d $FTP -p tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 9999 -j DNAT --to &FTP:21

Ich kann mich zwar einloggen aber der Client listet die Ordner nicht auf und zeigt dann nach dem Login diese Fehlermeldung:
! Socket Error: no connection
~ Could not retrieve directory listing for "/"
~ Disconnected

Mit der selben Regel wie für FTP kann ich mein Terminal Server (Windows 2000) aus dem Internet der zu Hause mit privater IP steht, erreichen.
Weiss jemand von euch ob ich etwas vergessen habe.

Vielen dank für eure Hilfe

ciao
slkzone

[demian]

Da hast Du wohl ein paar Ports vergessen. Auf Port 21 läuft nur die ftp control conection. Port 20 ist für aktive Transfers (_nicht_ der default bei den meisten ftp clients) und passiven Transfers werden per Zufallsprinzip hohe (5stellige) Ports zugewiesen, falls Du den Server nicht anweist, sich auf bestimmte Bereiche zu beschränken.

Ich selbst habe diese Frage schon drei mal in diesem Forum beantwortet und andere Leute sicherlich noch häufiger -> einfach mal suchen.

Wenn Du nicht einen Bereich von hohen Ports freigeben willst/kannst, dann guck Dir mal connection tracking an. Mittlerweile gibt es glaube ich für iptables eine brauchbare Lösung mittels 'stateful inspection'. Stichwort: target RELATED

[slkzone]

Danke habe die lösung selber gefunden,es lag nicht an dem Port20,den brauche ich auch nicht bei passivem FTP.
Dies hat gefehlt
modprobe ip_nat_ftp
ciao