Moin, Joachim Hartmann <joachim.hartmann@gmx-topmail.de> (So 13 Mär 2016 22:47:36 CET): > Hallo zusammen, > ich betreibe hinter einer Fritx!Box einen ftp-Server (proftpd). Auf dem Port > 21 > klappt das auch recht gut. Da der Server nur privat genutzt werden soll > möchte > ich gerne den Port 123 (Platzhalter) nutzen, das klappt aber nicht, obwohl > - der passive Modus (Ports 65000 - 65030) ist aktiviert > - in der Konfiguration des Servers der Port geändert wurde > - die entsprechende Portweiterleitung im Router aktiviert ist Von aussen betrachtet muss ich durch die Fritzbox, bevor ich Deinen Server erreiche? FTP „passive“ wurde eher für Clients erfunden, die hinter doofen Firewalls sitzen, weniger für Server, deren Firewalls zu doof sind. Passiver Modus? Das kann man im Server aktivieren? Ich meine, das wünscht sich der Client bei jedem Kommando extra. Und es bedeutet dann, dass der Server dem Client mitteilt, von welchem Port er sich die Daten (Verzeichnisbaum z.B.) abholen kann. Das ist vermutlich das, was Du dort mit 65000-65030 eingestellt hast. Dein Router müsste über „stateful inspection“ auch „passive“ Verbindungen zum Server durchlassen. müsste also Serverantworten mitlesen und wüsste dann, welcher Port nach innen noch durchgelassen werden müsste. Da Du aber die Steuerverbindung über einen anderen als Port 21/TCP abwickelst, kann die Fritzbox das vermutlich nicht. Da ist m.W. auch nur ein Linux drin, und vermutlich mit conntrack_ftp in der Firewall. Das ist auf „normalen“ Systemen ein Modul, dem man beim Laden sagen kann, dass auf einem anderen als 21/TCP nach FTP geguckt werden muss. Wenn Du das nicht ändern kannst/willst, müsstests Du auf der Fritzbox den Range der Serverports 65000-65030 freigeben und zum Server forwarden. Wird aber vermutlich immer noch nicht reichen, weil bei „passive“ der Server ja dem Client mitteilt, auf welcher IP:Port die Daten bereit stehen, das genau müsste aber beim NAT im Layer 7 auch angepasst werden, über nat_ftp (selbes Spiel mit dem Port wie oben). Das wiederum wird nicht greifen, weil Du einen anderen als den Standard-Port verwendest. Du kannst auf der Clientseite mit tcpdump sniffern und wirst sehen, welche IPs/Ports der Server sich wünscht im den Antworten auf „ls“. Vermutlich steht da noch die private Adresse des Servers drin. Mit anderen Worten: Die Clients haben nur eine Chance bei „aktivem“ FTP, und vermutlich auch nur, wenn Du deren Firewall beibringst, dass Du einen anderen Port verwendest für das FTP-Protokoll (modinfo hilft, den passenden Parameter zu ermitteln). Aber im Ernst, SCP/SFTP sind nicht gut genug? Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de ---------------------------- internet & unix support - Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} - gnupg encrypted messages are welcome --------------- key ID: F69376CE - ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -
Attachment:
signature.asc
Description: Digital signature