FTP Probs seit Firewall Installation

Dieses Thema im Forum "Unix Derivate & sonst. Unix Fragen" wurde erstellt von moonlook, 28.08.2002.

  1. #1 moonlook, 28.08.2002
    Zuletzt bearbeitet: 28.08.2002
    moonlook

    moonlook !alleswissenwollen!

    Dabei seit:
    28.08.2002
    Beiträge:
    403
    Zustimmungen:
    0
    Ort:
    /dev/null
    Hi,

    ich musste mir wegens Traffic shapen ne Firewall aufsetzen, diese funktioniert auch recht gut und auch fast so, wie ich dass will. Nur brechen Dateitranfers 'nach draussen' über FTP ab. Zumeist tritt dies auf, wenn jemand per FXP ne Datei auf nem anderen Server schieben will. Die Datei wird übertragen, zwischendurch wird unterbrochen, reconnected und dann steht der Transfer stehen, zumeist bei der Meldung, dass der FTP-Client in den Passive Mode geht. Zuerst hab ich gedacht, es liegt am FTP-Programm, so habe ich Pure-FTPd gegen Proftpd ersetzt. Das half jedoch nicht.

    Hier die rc.firewall, bei der nur intern alles an Traffic erlaubt ist, extern nur 1MBit/s:

    us_ip=###.###.###.## # Unser Netz/Unsere IP
    oif=rl0 # Interface nach draußen
    ipfw="/sbin/ipfw"

    #${ipfw} flush
    ${ipfw} add check-state

    #Alles andere erlauben
    ${ipfw} add allow all from any to any

    # Spoofing abwehren
    ${ipfw} add deny log ip from 10.0.0.0/8 to any in via ${oif}
    ${ipfw} add deny log ip from 172.16.0.0/12 to any in via ${oif}
    ${ipfw} add deny log ip from 192.68.0.0/16 to any in via ${oif}

    # Mail blocken
    ${ipfw} add reject log tcp from any to any 25 in via ${oif}

    #Traffic Shapen
    ${ipfw} add allow tcp from ###.###.###.## to any in via {oif}
    ${ipfw} add allow tcp from ###.###.###.## to any out via {oif}
    ${ipfw} add pipe 1 icmp from any to any in via ${oif}
    ${ipfw} add pipe 1 icmp from any to any out via ${oif}
    ${ipfw} pipe 1 config bw 1000Kbit/s queue 50

    ----------------------------------------------------------------------------------------------
    Und hier die Fehlermeldung, die der jedweilige FTP-Client ausgibt:

    227 Entering Passive Mode (132,199,52,217,13,144)
    PORT 132,199,52,217,13,144
    Connection Lost: ###.###.###.##
    Attempting to Reconnect.
    Transfer Failed!
    1 File(s) failed to transfer

    Intern funkt es ohne Probs, nur nach aussen nicht.
    Weiss da jemand, was ich falsch gemacht habe?
    Kann mir jemand genauer erklären, was beim FTP-Protokoll dieser Passive Mode genau bewirkt?

    Ich danke schon mal für alle Hinweise
    moonlook

    oops, sorry, hab erst danach das firewall-theme gesehen, wenn einer der admins mag, kann ers ja verschieben(vielleicht auch nicht, da es sich dort um linux-firewalls zu tun hat)
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 saintjoe, 28.08.2002
    saintjoe

    saintjoe Guest

    Soviel zu passive/active FTP:
    http://slacksite.com/other/ftp.html

    Hast du es denn schonmal mit Active FTP versucht?
    Sonst fällt mir dazu im moment nämlich nichts gross ein!

    Gruß
     
  4. #3 moonlook, 28.08.2002
    moonlook

    moonlook !alleswissenwollen!

    Dabei seit:
    28.08.2002
    Beiträge:
    403
    Zustimmungen:
    0
    Ort:
    /dev/null
    @saintjoe,

    danke für die verdammt schnelle reaction!

    das tut is echt genau das was ich zum passive ftp wissen wollte.
    ich ziehs mir grad rein.

    active ftp fällt aus, da alle leute, die zu mir connecten, den passiven benutzen;)

    wenn jemand bezüglich des thema's firewall einfällt, soll er ma bitte hier fleissig posten.

    lockeres peace
    moonlook
     
  5. #4 saintjoe, 28.08.2002
    saintjoe

    saintjoe Guest

    Mir ist da noch was eingefallen.

    Hast du mal probiert und geschaut ob irgendwas geblockt wird? Auch wenn eigentlich nix geblockt werden sollte aufgrund der

    ${ipfw} add allow all from any to any

    Regel.
    Einfach mal beim nächsten Versuch ein

    tail -f /var/log/security

    mitlaufen lassen.
    So lassen sich häufig die Ursachen rausfinden!
     
  6. #5 moonlook, 28.08.2002
    Zuletzt bearbeitet: 28.08.2002
    moonlook

    moonlook !alleswissenwollen!

    Dabei seit:
    28.08.2002
    Beiträge:
    403
    Zustimmungen:
    0
    Ort:
    /dev/null
    @saintjoe,

    das Tut ist gut!
    Ich hab mich durch die Doku's vom Proftpd gewühlt und alle Ports für den Passive Mode, 1024-65534, eingetragen.
    Ich denke, dass ich das Problem bei der Firewall eingrenzen sollte. Verstehen tue ich auch nicht, warum es bei FXP Probleme gibt und beim normalen leechen nicht.


    tail -f /var/log/security hat nichts gebracht, die Datei ist auch leer...


    Hat jemand noch ne gute Anleitung für das Aufsetzen von Firewalls unter FreeBSD, damit ich erfahr, ob ich was falsch gemacht hab bei meiner?
    Liegt es vielleicht am Spoofing abwehren?
    Die Section habe ich nicht erstellt, sondern aus ner rc.firewall von nem anderen Server genommen---sieht aber logisch aus....

    Ich will das Problem lösen!!!!X(

    moonlook
     
  7. #6 saintjoe, 28.08.2002
    saintjoe

    saintjoe Guest

    Ich würde dir einfach mal empfehlen, in de.comp.os.unix.bsd zu posten.
    Da erreichst du (noch :D ) mehr User als hier.
    Ich zumindest bin ratlos ?(
     
  8. #7 moonlook, 28.08.2002
    moonlook

    moonlook !alleswissenwollen!

    Dabei seit:
    28.08.2002
    Beiträge:
    403
    Zustimmungen:
    0
    Ort:
    /dev/null
    k,

    ich werd da ma anfragen, danke trotzdem für die schnellen antworten, ich denk mir gefällt's hier auf dem board!!!


    lockeres peace
    moonlook
     
  9. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  10. Andre

    Andre Foren Gott
    Moderator

    Dabei seit:
    01.04.2002
    Beiträge:
    3.876
    Zustimmungen:
    0
    na das freut mich :)
     
  11. #9 moonlook, 16.09.2002
    moonlook

    moonlook !alleswissenwollen!

    Dabei seit:
    28.08.2002
    Beiträge:
    403
    Zustimmungen:
    0
    Ort:
    /dev/null
    Die Lösung...falls es jemand interessiert

    Yo,

    hat lang gedauert, hab auch ne Weile dran geschwitzt.
    Die Lösung zum passiven FTP inclusive Bandbreitenbeschränkung(option DUMMYNET nicht vergessen;))
    lautet nun:
    ---------------------------------------------------------------------
    us_ip=###.###.###.### # Unser Netz/Unsere IP
    oif=rl0 # Interface nach draußen
    ipfw="/sbin/ipfw"

    ${ipfw} flush
    ${ipfw} add check-state

    # Spoofing abwehren
    ${ipfw} add deny log ip from 10.0.0.0/8 to any in via ${oif}
    ${ipfw} add deny log ip from 172.16.0.0/12 to any in via ${oif}
    ${ipfw} add deny log ip from 192.68.0.0/16 to any in via ${oif}

    #Alles durchlassen zu meiner Maschine
    ${ipfw} add allow tcp from ###.###.###.### to any in via ${oif}
    ${ipfw} add allow tcp from ###.###.###.### to any out via ${oif}
    ${ipfw} add allow tcp from any to ###.###.###.### in via ${oif}
    ${ipfw} add allow tcp from any to ###.###.###.### out via ${oif}

    # Bandwith-Limit definieren
    ${ipfw} pipe 1 config bw 1000Kbit/s

    #Ports für passiven FTP über Pipe 1 zulassen
    ${ipfw} add pipe 1 tcp from any 20 to any 1024-65534 in via $oif setup keep-state
    ${ipfw} add pipe 1 tcp from any 20 to any 1024-65534 out via $oif setup keep-state

    #ansonsten geht alles über Pipe 1
    ${ipfw} add pipe 1 tcp from any to any in via ${oif}
    ${ipfw} add pipe 1 tcp from any to any out via ${oif}

    # Mail blocken
    ${ipfw} add reject log tcp from any to any 25 in via ${oif}

    #Alles andere erlauben - MUSS IMMER AM ENDE STEHEN !!!
    ${ipfw} add allow all from any to any
    -----------------------------------------------------------------------

    so funzt es jetzt bestens, puuhhh bin ich froh!!

    lockeres peace
    moonlook
     
Thema:

FTP Probs seit Firewall Installation

Die Seite wird geladen...

FTP Probs seit Firewall Installation - Ähnliche Themen

  1. Probs mit PDC auf Debian Etch

    Probs mit PDC auf Debian Etch: Hallo Forum ich habe einen PDC mit Samba unter Debian eingerichtet. Wenn ein Rechner versucht in die Domäne einzutreten kommt immer die Meldung,...
  2. Probs mit Perl script

    Probs mit Perl script: Moin zusammen, ich habe da ein kleines Problem und komme nicht weiter, ich hoffe Ihr könnt mir da Weiterhelfen. Und zwar ich habe ne aufgabe...
  3. Probs mit eclipse

    Probs mit eclipse: Hi @ all, Ich habe (mal wieder) ein Problem mit eclipse...es mag nicht mehr starten, ging aber letzte Woche noch... Hier erstmal die Ausgabe aus...
  4. Achtung Anfänger mit grep/awk probs

    Achtung Anfänger mit grep/awk probs: Hi Leute, ich muss wieder scripten, leider viel vergessen und auch die Suchfunktion und auch die FAQ konnte mir nicht weiter helfen. Zur...
  5. Cedega 6.0.1 Probs mit Mount

    Cedega 6.0.1 Probs mit Mount: Hi leute ich habe mir Cedega gekauft und nun hab ich ein prob wen ich Das spiel einlege und auf Mount drücke bekomm ich die meldung. mount...