Re: vsftp und doppeltes NAT

To: debian-user-german@lists.debian.org
Subject: Re: vsftp und doppeltes NAT
From: Heiko Schlittermann <hs@schlittermann.de>
Date: Tue, 29 Jan 2013 20:04:20 +0100
Message-id: <[🔎] 20130129190420.GF27723@jumper.schlittermann.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 36741F533D4D4FCF97BB6BEBD664E00A@dsb.local>
References: <[🔎] 36741F533D4D4FCF97BB6BEBD664E00A@dsb.local>

Hallo,

Daniel Bauer <mlist@dsb-gmbh.de> (Di 29 Jan 2013 18:37:06 CET):
> Hallo Zusammen,
> 
> ich versuche seit Tagen verzweifelt meinen vsftp verfügbar zu machen.
> 
> Als erstes kommt ein Router der als DMZ Host meine Firewall
> eingetragen hat. Hinter dieser Firewall steht auch der Server. Auf
> der Firewall wird folgendes akzeptiert:
> -p tcp --sport 1024:65535 --dport 21
> -p tcp --sport 1024:65535 --dport 20
> -p tcp --sport 20 --dport 1024:65535
> Andere Dienste wie z.B. SSH funktionieren einwandfrei.

Und was wird nicht akzeptiert? Es wäre hilfreich, das komplette Ruleset
zu sehen, am einfachsten die Ausgabe von „iptables-save“

> Wenn ich den Server direkt hinter den Router klemme, funktioniert
> alles bestens, sobald er hinter der Firewall ist kommt kein FTP
> Connect mehr zustande.
> 
> Laut $Suchmaschine ist doppeltes NAT möglich, kann mir jemand bitte
> einen Schups in die richtige Richtung geben.

Doppeltes NAT sehe ich in den von Dir zitierten Regeln gar nicht. Nicht
mal einfaches NAT.

FTP über ganze NAT-Kaskaden kann funktionieren, wenn dieses NAT-Router
alles richtig machen. Dazu gehört, daß sie in der Lage sind, das
FTP-Protokoll zu verstehen, nicht nur die TCP/IP-Header. Paketfilter
können von Natur nur die Header-Information auswerten, nicht die
Nutzlast. FTP transportiert aber Information zum Verbindungsaufbau in
der Nutzlast.

Für iptables gibt es da Unterstützung durch nf_conntrack_ftp (filter)
und nf_nat_ftp (nat). Das sind Kernel-Module, die geladen werden müssen.
(Je nach Kernelversion heißen die - glaube ich - manchmal etwas anders,
aber nat_ftp oder conntrack_ftp haben die immer im Namen.)

Sobald Verschlüsslung ins Spiel kommt (FTP mit TLS oder SSL) wird es
komplexer. Dann würde ich sftp (SSH) bevorzugen.

Die komplette Lösung überlasse ich Deiner Kreativität, die dsb-gmbh
(Dein Absender) bietet ja IT-Solutions an ☺

    Best regards from Dresden/Germany
    Viele Grüße aus Dresden
    Heiko Schlittermann
-- 
 SCHLITTERMANN.de ---------------------------- internet & unix support -
 Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
 gnupg encrypted messages are welcome --------------- key ID: 7CBF764A -
 gnupg fingerprint: 9288 F17D BBF9 9625 5ABC  285C 26A9 687E 7CBF 764A -
(gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2  7E92 EE4E AC98 48D0 359B)-

Attachment: signature.asc
Description: Digital signature

Reply to:

Follow-Ups:
- Re: vsftp und doppeltes NAT
  - From: "Daniel Bauer" <mlist@dsb-gmbh.de>

References:
- vsftp und doppeltes NAT
  - From: "Daniel Bauer" <mlist@dsb-gmbh.de>

Prev by Date: vsftp und doppeltes NAT
Next by Date: Re: squeeze geklont und neues MB - was nun?
Previous by thread: vsftp und doppeltes NAT
Next by thread: Re: vsftp und doppeltes NAT
Index(es):
- Date
- Thread