Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
FTP auf hohen Ports durch NAT?

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
shaun



Anmeldungsdatum: 18.11.2006
Beiträge: 3

BeitragVerfasst am: 18. Nov 2006 14:32   Titel: FTP auf hohen Ports durch NAT?

Hallo Gemeinde,
mein erstes Posting ist gleich eine Frage, trotzdem erhoffe ich mir hier Hilfe.
Ich habe eine Firewall auf einem ältlichen (2.4.7) Linux laufen, die zwischen einem externen Interface, nennen wir es mal 192.168.0.1, und einem internen, zB. 192.168.100.1, nattet.
Darauf läuft auch ein ProFTPd, der von 192.168.100.x problemlos erreichbar ist.
Vom Provider kommt auf dem externen Interface eine Standleitung an, über die wir über die statische IP 141.x.y.z erreichbar sind. Um FTP zu ermöglichen, habe ich die iptables-Module ip_nat_ftp und ip_nat_conntrack geladen. Nun das Problem: läuft unser FTPd auf Port 21, kann ich über 141.x.y.z:21 problemlos FTPen, im Log für passives FTP erscheint auch ganz brav die externe IP (141,x,y,z,a,b). Bei jedem anderen Port meldet der FTP-Client jedoch die IP der externen Ethernetschnittstelle, also 192,168,0,1,a,b %)
Ich habe den Modulen den Parameter ports=21,521 (Beispiel) schon mal mitgegeben, hat aber nicht geändert. Obwohkl die Angabe irgendetwas zu tun scheint, denn wenn ich NUR den 521 angebe, funktioniert FTP auch auf der 21 nur noch bis zum LIST, ein CHDIR o.ä. meldet dann, dass die Datenverbindung nicht aufgebaut werden kann. Auf allen anderen Ports ausser 21 funktioniert der Login noch, aber natürlich keine Datenverbindung (na wie auch, wenn als Ziel die Ethernet-IP der externen Karte und nicht die Internet-IP übergeben wird).
Irgendwer eine Idee?

Danke
Stefan
 
Benutzer-Profile anzeigen Private Nachricht senden

Janka



Anmeldungsdatum: 11.02.2006
Beiträge: 3569

BeitragVerfasst am: 19. Nov 2006 0:05   Titel:

Das ist jetzt nur geraten, aber es gibt außer dem "command port" 21 auch noch den "default data port" 20. Evtl. musst du da auch noch dran rumspielen.

Janka
_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
 
Benutzer-Profile anzeigen Private Nachricht senden

shaun



Anmeldungsdatum: 18.11.2006
Beiträge: 3

BeitragVerfasst am: 19. Nov 2006 11:12   Titel:

Das gilt nur für aktives FTP, daran liegt's also nicht. Das Problem ist m.M. nach, dass der PORT-Befehl nur bei Port 21 ordentlich von den ftp-Modulen umgeschrieben wird.
 
Benutzer-Profile anzeigen Private Nachricht senden

Janka



Anmeldungsdatum: 11.02.2006
Beiträge: 3569

BeitragVerfasst am: 19. Nov 2006 12:11   Titel:

Falls du einen Fehler dort vermutest, solltest du die Changelogs bis zum neuesten 2.4.x-Kernel prüfen oder einfach mal den neuesten 2.4.x Kernel ausprobieren. So aufwendig ist das ja nicht, könnte aber einiges Rätselraten sparen.

Janka
_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
 
Benutzer-Profile anzeigen Private Nachricht senden

shaun



Anmeldungsdatum: 18.11.2006
Beiträge: 3

BeitragVerfasst am: 21. Nov 2006 23:07   Titel:

Inzwischen ist das Problem gelöst.
Ich habe ProFTPd mittels MasqueradeAddress die statische Internet-IP unseres Servers gegeben und nun ist es egal, ob er auf Port 21 oder irgendwo anders lauscht, im PASV-Kommando steht korrekterweise eben diese IP plus Wunschport und nicht mehr die der Ethernetkarte. Warum die IP bei Port 21 korrekt ist und ob das was mit iptables zu tun hat habe ich noch nicht genauer erforscht, da es eh nur ein Workaround ist, die Platten platzen aus allen Nähten und nächsten Monat gibt's nen neuen Server.
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy