Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
Am Sonntag, 30. Oktober 2005 22:27 schrieb Mag. Leonhard Landrock:
> Hallo zusammen!
Moin Leonhard,
> Rechner "firewall" betreibt einfache Paketfilterung.
>
> "funnet/24" ist der geschützte Netzwerk Teil, der über eine SNAT in
> das Internet kann.
>
> Wenn ich von einem Client PC im "funnet" eine "normale" ftp
> Verbindung öffenen will, so wird zunächst eine ftp Verbindung zum
> Zielrechner (ftp Server) aufgebaut. Dannach wird versucht eine andere
> ftp Verbindung zum Startrechner (ftp Client) aufzubauen.
>
> Letzteres muss bei dieser Firewallkonfiguration scheitern.
Dat mokt nix.
> Fragen:
> =====
> *) Wie kann ich von einem Rechner im "funnet" einen ftp download in
> das Internet starten ohne an der Firewall Änderungen vornehmen zu
> müssen? *) Habe ich etwas übersehen und muss ich doch die Firewall
> Einstellungen ändern?
> *) Wie kann ich Konqueror beibringen, dass die ftp Kommunikation nur
> über vom Client aufgebaute Verbindungen zu erfolgen hat?
Das kann der schon.
> Was ich will wird (so glaube ich) als passives ftp bezeichnet. Leider
> sagen aber weder die Konqueror Hilfe noch das Internet (google) sehr
> viel zu diesem Thema.
Ich habe noch nie dem Konqueror oder einem anderen FTP-fähigen Browser
mitteilen müssen, er möge bitte passives FTP benutzen. Das RFC 959 von
1985! beschreibt PASV für FTP - daher benützen heute AFAIK alle Browser
von Haus aus passives FTP (oder verwenden dies, wenn aktives FTP wg.
Timeout scheitert).
Mit ethereal kannst Du Dir die Päckchen ansehen, die Dein Rechner
verschickt, Du wirst sehen, das Dein Browser ein PASV sendet. Dies
teilt dem FTP-Server mit, daß der Client passives FTP wünscht - der
Server bestätigt dies und dann baut der Client die Datenverbindung auf.
Machst Du Dir nur präventiv Sorgen, oder funktioniert das bei Dir nicht
so?
> LG,
> Leonhard.
Tschüss
dirk
Reply to: