NAT (iptables) ?

Post Reply
Message
Author
mario

NAT (iptables) ?

#1 Post by mario »

hi!

wie bringe ich meinen router dazu dass ftp ohne passiv mode bei den client rechnern funktioniert?
jetzt kommt immer diese meldung im IE des client rechners


z.b:
ftp://ftp.redhat.de/

500 illegal port command

mein befehl der zeit ist
/sbin/iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

thx mario

Rossi

Re: NAT (iptables) ?

#2 Post by Rossi »

Und Du bist sicher, das Deine Distribution nicht insgeheim ein Firewall Skript startet ? Allerdings weist "Illegal Port Command" nicht zwangsweise auf ein Problem mit NAT und nicht passivem FTP hin.
Um das zu testen, nimm mal einen vernünftigen FTP Client (WinCommander oder LeapFTP oder was auch immer, aber keinen Brauser) und versuche, eine Verbindung zu einem Server einmal PORT und einmal PASSIVE aufzubauen. Und dann schaue Dir die Meldung an und teile sie uns mit.

mario

Re: NAT (iptables) ?

#3 Post by mario »

hi,
es hängt sicher mit passive mode zusammen. das erste logfile von flashfxp ist ohne passive mode (funktioniert nicht), das zweite mit passive mode (alles funktionstuchtig).
iptables und ipchains startscripte sind alle ausgeschalten, es funktioniert auch kein routing bei den clients bis ich den oben genannten befehl nicht starte.

aber hier nochmal meine /etc/rc.d/rc3.d/ S-scripts! was anderes wird nicht gestartet.

/etc/rc.d/rc3.d/S10network /etc/rc.d/rc3.d/S80isdn
/etc/rc.d/rc3.d/S12syslog /etc/rc.d/rc3.d/S80pppoe
/etc/rc.d/rc3.d/S13portmap /etc/rc.d/rc3.d/S85gpm
/etc/rc.d/rc3.d/S55sshd /etc/rc.d/rc3.d/S90crond
/etc/rc.d/rc3.d/S56rawdevices /etc/rc.d/rc3.d/S90xfs
/etc/rc.d/rc3.d/S56xinetd /etc/rc.d/rc3.d/S99local


hatte vorher masq mit ipchains und mir extra wegen diesem passive mode redhat 7.1 installiert mit kernel 2.4.3 um nat zu verwenden.
thx mario <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">


WinSock 2.0
Connecting to ftp.redhat.de
Connected to 193.103.254.160 Port 21
220 ftp.redhat.de FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready.
USER anonymous
331 Guest login ok, send your complete e-mail address as password.
PASS (hidden)
230 Guest login ok, access restrictions apply.
SYST
215 UNIX Type: L8
REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PORT 192,168,0,10,4,169
500 Illegal PORT Command
LIST
425 Can't build data connection: Connection refused.
QUIT




Logged off: ftp.redhat.de
Connecting to ftp.redhat.de
Connected to 193.103.254.160 Port 21
220 ftp.redhat.de FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready.
USER anonymous
331 Guest login ok, send your complete e-mail address as password.
PASS (hidden)
230 Guest login ok, access restrictions apply.
SYST
215 UNIX Type: L8
REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
CWD /
250 CWD command successful.
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (193,103,254,160,84,127)
LIST
150 Opening ASCII mode data connection for /bin/ls.
226 Transfer complete.

Rossi

Re: NAT (iptables) ?

#4 Post by Rossi »

Ok. Ein wahrscheinlich hochgradig Sinnloser Tip: Lade mal das Modul iptables_conntrack_ftp. Wobei ich nicht glaube, das das auch nur irgendwas was mit NAT zu tun hat. Aber einen Versuch ist es Wert. Ansonsten schaue ich heut Abend noch mal, wie der Kernel bei mir aussieht und was ich geladen hab.

Im Kernel gibt es glaube ich eine Option "Full NAT" - ich gehe davon aus, das Du diese Option aktiviert hast. Sitze halt momentan nicht davor.

Rossi

Re: NAT (iptables) ?

#5 Post by Rossi »

P.S.: Was macht denn: /etc/rc.d/rc3.d/S56rawdevices /etc/rc.d/rc3.d/S90xfs ?

Rossi

Re: NAT (iptables) ?

#6 Post by Rossi »

Ich lag wohl doch nicht so verkehrt. Ein Zitat aus "make config:"

Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK) [N/y/m/?]
FTP protocol support (CONFIG_IP_NF_FTP) [N/y/m/?]
IP tables support (required for filtering/masq/NAT) (CONFIG_IP_NF_IPTABLES) [N/y/m/?]
Full NAT (CONFIG_IP_NF_NAT) [N/y/m/?]
MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE) [N/y/m/?]

So. Die müssen auf jeden Fall alle auf "y" und geladen werden, solltest Du sie als Modul übersetzt haben. Insbesondere Punkt 2. Weiß jetzt nicht, ob das Modul auch wirklich "iptables_conntrack_ftp" heißt, aber das läßt sich ja testen - einfach mal in Deinem Modulverzeichnis stöbern und schauen, was es da so im Angebot gibt. Dachte, das sei für stateful-connection zuständig. Wie man sich täuschen kann, in Modulen ;^)

Also - Module geladen und berichtet.

ronny
Posts: 313
Joined: 24. Apr 2001 11:11
Location: Muehlacker, BW

Re: NAT (iptables) ?

#7 Post by ronny »

ip_conntrack_ftp allein reicht nicht aus

du musst 'ip_conntrack_ftp' *und* 'ip_nat_ftp' laden

mario

Re: NAT (iptables) ?

#8 Post by mario »

<img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
hey cool,
es funktioniert jetzt, habe nur die 2 module 'ip_conntrack_ftp' *und* 'ip_nat_ftp' handisch mit modprobe geladen.
wo muss ich die reinschreiben dass er sie beim neustart automatisch mitlädt und wie muss die befehlszeile aussehen?

dankeschön mario <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

ronny
Posts: 313
Joined: 24. Apr 2001 11:11
Location: Muehlacker, BW

Re: NAT (iptables) ?

#9 Post by ronny »

je nach distri z.b. in /etc/rc.d/rc.local oder boot.local
(modprobe ...)
alternatib kannst du auch in der modules.conf angeben, dass die modules automatisch beim laden des allgemeinen connection tracking und nat supports nachgeladen wird

in /etc/modules.conf
post-install ip_conntrack modprobe ip_conntrack_ftp
post-install iptable_nat modprobe ip_nat_ftp

mario

Re: NAT (iptables) ?

#10 Post by mario »

...thx!!!

ich hab es einfach in die modules.conf geschrieben, funktioniert alles super.
sogar nach kernelupdate auf 2.4.6 <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

danke nochmal, ciao mario

Post Reply