FTP Probs seit Firewall Installation

moonlook

!alleswissenwollen!
Beiträge
403
Hi,

ich musste mir wegens Traffic shapen ne Firewall aufsetzen, diese funktioniert auch recht gut und auch fast so, wie ich dass will. Nur brechen Dateitranfers 'nach draussen' über FTP ab. Zumeist tritt dies auf, wenn jemand per FXP ne Datei auf nem anderen Server schieben will. Die Datei wird übertragen, zwischendurch wird unterbrochen, reconnected und dann steht der Transfer stehen, zumeist bei der Meldung, dass der FTP-Client in den Passive Mode geht. Zuerst hab ich gedacht, es liegt am FTP-Programm, so habe ich Pure-FTPd gegen Proftpd ersetzt. Das half jedoch nicht.

Hier die rc.firewall, bei der nur intern alles an Traffic erlaubt ist, extern nur 1MBit/s:

us_ip=###.###.###.## # Unser Netz/Unsere IP
oif=rl0 # Interface nach draußen
ipfw="/sbin/ipfw"

#${ipfw} flush
${ipfw} add check-state

#Alles andere erlauben
${ipfw} add allow all from any to any

# Spoofing abwehren
${ipfw} add deny log ip from 10.0.0.0/8 to any in via ${oif}
${ipfw} add deny log ip from 172.16.0.0/12 to any in via ${oif}
${ipfw} add deny log ip from 192.68.0.0/16 to any in via ${oif}

# Mail blocken
${ipfw} add reject log tcp from any to any 25 in via ${oif}

#Traffic Shapen
${ipfw} add allow tcp from ###.###.###.## to any in via {oif}
${ipfw} add allow tcp from ###.###.###.## to any out via {oif}
${ipfw} add pipe 1 icmp from any to any in via ${oif}
${ipfw} add pipe 1 icmp from any to any out via ${oif}
${ipfw} pipe 1 config bw 1000Kbit/s queue 50

----------------------------------------------------------------------------------------------
Und hier die Fehlermeldung, die der jedweilige FTP-Client ausgibt:

227 Entering Passive Mode (132,199,52,217,13,144)
PORT 132,199,52,217,13,144
Connection Lost: ###.###.###.##
Attempting to Reconnect.
Transfer Failed!
1 File(s) failed to transfer

Intern funkt es ohne Probs, nur nach aussen nicht.
Weiss da jemand, was ich falsch gemacht habe?
Kann mir jemand genauer erklären, was beim FTP-Protokoll dieser Passive Mode genau bewirkt?

Ich danke schon mal für alle Hinweise
moonlook

oops, sorry, hab erst danach das firewall-theme gesehen, wenn einer der admins mag, kann ers ja verschieben(vielleicht auch nicht, da es sich dort um linux-firewalls zu tun hat)
 
Zuletzt bearbeitet:
S

saintjoe

Gast
Soviel zu passive/active FTP:
http://slacksite.com/other/ftp.html

Hast du es denn schonmal mit Active FTP versucht?
Sonst fällt mir dazu im moment nämlich nichts gross ein!

Gruß
 

moonlook

!alleswissenwollen!
Beiträge
403
@saintjoe,

danke für die verdammt schnelle reaction!

das tut is echt genau das was ich zum passive ftp wissen wollte.
ich ziehs mir grad rein.

active ftp fällt aus, da alle leute, die zu mir connecten, den passiven benutzen;)

wenn jemand bezüglich des thema's firewall einfällt, soll er ma bitte hier fleissig posten.

lockeres peace
moonlook
 
S

saintjoe

Gast
Mir ist da noch was eingefallen.

Hast du mal probiert und geschaut ob irgendwas geblockt wird? Auch wenn eigentlich nix geblockt werden sollte aufgrund der

${ipfw} add allow all from any to any

Regel.
Einfach mal beim nächsten Versuch ein

tail -f /var/log/security

mitlaufen lassen.
So lassen sich häufig die Ursachen rausfinden!
 

moonlook

!alleswissenwollen!
Beiträge
403
@saintjoe,

das Tut ist gut!
Ich hab mich durch die Doku's vom Proftpd gewühlt und alle Ports für den Passive Mode, 1024-65534, eingetragen.
Ich denke, dass ich das Problem bei der Firewall eingrenzen sollte. Verstehen tue ich auch nicht, warum es bei FXP Probleme gibt und beim normalen leechen nicht.


tail -f /var/log/security hat nichts gebracht, die Datei ist auch leer...


Hat jemand noch ne gute Anleitung für das Aufsetzen von Firewalls unter FreeBSD, damit ich erfahr, ob ich was falsch gemacht hab bei meiner?
Liegt es vielleicht am Spoofing abwehren?
Die Section habe ich nicht erstellt, sondern aus ner rc.firewall von nem anderen Server genommen---sieht aber logisch aus....

Ich will das Problem lösen!!!!X(

moonlook
 
Zuletzt bearbeitet:
S

saintjoe

Gast
Ich würde dir einfach mal empfehlen, in de.comp.os.unix.bsd zu posten.
Da erreichst du (noch :D ) mehr User als hier.
Ich zumindest bin ratlos ?(
 

moonlook

!alleswissenwollen!
Beiträge
403
k,

ich werd da ma anfragen, danke trotzdem für die schnellen antworten, ich denk mir gefällt's hier auf dem board!!!


lockeres peace
moonlook
 

moonlook

!alleswissenwollen!
Beiträge
403
Die Lösung...falls es jemand interessiert

Yo,

hat lang gedauert, hab auch ne Weile dran geschwitzt.
Die Lösung zum passiven FTP inclusive Bandbreitenbeschränkung(option DUMMYNET nicht vergessen;))
lautet nun:
---------------------------------------------------------------------
us_ip=###.###.###.### # Unser Netz/Unsere IP
oif=rl0 # Interface nach draußen
ipfw="/sbin/ipfw"

${ipfw} flush
${ipfw} add check-state

# Spoofing abwehren
${ipfw} add deny log ip from 10.0.0.0/8 to any in via ${oif}
${ipfw} add deny log ip from 172.16.0.0/12 to any in via ${oif}
${ipfw} add deny log ip from 192.68.0.0/16 to any in via ${oif}

#Alles durchlassen zu meiner Maschine
${ipfw} add allow tcp from ###.###.###.### to any in via ${oif}
${ipfw} add allow tcp from ###.###.###.### to any out via ${oif}
${ipfw} add allow tcp from any to ###.###.###.### in via ${oif}
${ipfw} add allow tcp from any to ###.###.###.### out via ${oif}

# Bandwith-Limit definieren
${ipfw} pipe 1 config bw 1000Kbit/s

#Ports für passiven FTP über Pipe 1 zulassen
${ipfw} add pipe 1 tcp from any 20 to any 1024-65534 in via $oif setup keep-state
${ipfw} add pipe 1 tcp from any 20 to any 1024-65534 out via $oif setup keep-state

#ansonsten geht alles über Pipe 1
${ipfw} add pipe 1 tcp from any to any in via ${oif}
${ipfw} add pipe 1 tcp from any to any out via ${oif}

# Mail blocken
${ipfw} add reject log tcp from any to any 25 in via ${oif}

#Alles andere erlauben - MUSS IMMER AM ENDE STEHEN !!!
${ipfw} add allow all from any to any
-----------------------------------------------------------------------

so funzt es jetzt bestens, puuhhh bin ich froh!!

lockeres peace
moonlook
 

Ähnliche Themen

Nginx als Reverse Proxy für Nextcloud und Emby

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Samba 4 Gast Zugang unter Ubuntu funktioniert nicht

Windows clients können nicht mehr auf lange laufendes System zugreifen

NagiosGrapher 1.7.1 funktioniert nicht

Oben