Re: vsftp und doppeltes NAT

To: "Debian User" <debian-user-german@lists.debian.org>
Subject: Re: vsftp und doppeltes NAT
From: "Daniel Bauer" <mlist@dsb-gmbh.de>
Date: Tue, 29 Jan 2013 21:15:06 +0100
Message-id: <[🔎] F81F14DA5B6E42B283433CEAB06172F0@dsb.local>
References: <[🔎] 36741F533D4D4FCF97BB6BEBD664E00A@dsb.local> <[🔎] 20130129190420.GF27723@jumper.schlittermann.de>

Hallo Heiko,

From: "Heiko Schlittermann"

Daniel Bauer <mlist@dsb-gmbh.de> (Di 29 Jan 2013 18:37:06 CET):

ich versuche seit Tagen verzweifelt meinen vsftp verfügbar zu machen.

Als erstes kommt ein Router der als DMZ Host meine Firewall
eingetragen hat. Hinter dieser Firewall steht auch der Server. Auf
der Firewall wird folgendes akzeptiert:
-p tcp --sport 1024:65535 --dport 21
-p tcp --sport 1024:65535 --dport 20
-p tcp --sport 20 --dport 1024:65535
Andere Dienste wie z.B. SSH funktionieren einwandfrei.

Und was wird nicht akzeptiert? Es wäre hilfreich, das kompletteRuleset

zu sehen, am einfachsten die Ausgabe von "iptables-save"

kann ich bei Bedarf senden, aber ich konnte das Problem weitereingrenzen.

Wenn ich den Server direkt hinter den Router klemme, funktioniert
alles bestens, sobald er hinter der Firewall ist kommt kein FTP
Connect mehr zustande.

Laut $Suchmaschine ist doppeltes NAT möglich, kann mir jemand bitte
einen Schups in die richtige Richtung geben.

Doppeltes NAT sehe ich in den von Dir zitierten Regeln gar nicht.Nicht

mal einfaches NAT.

ich hatte extra nur die Regeln fürs FTP gezeigt, eigentlich sollte mitConnection Tracking ja auch nur der Port 21 reichen, dann allerdings nurfür passives FTP.


Der Aufbau ist folgender:

10.20.1.180 (FTP Server)
<->
10.20.0.1 (Firewall)
192.168.1.11
<->
192.168.1.1 (Fritzbox)
ext. IP
<->
ext. IP
10.30.0.1 (Firewall)
<->
10.30.1.x (FTP Client)

Sobald ich nun den FTP Server auf die 192.168.1.12, oder den FTP Clientauf die externe IP lege funktioniert das Ganze. Aber fast jeder Clientist hinter einem Router und nicht direkt im Internet.

FTP über ganze NAT-Kaskaden kann funktionieren, wenn dieses NAT-Router
alles richtig machen. Dazu gehört, daß sie in der Lage sind, das
FTP-Protokoll zu verstehen, nicht nur die TCP/IP-Header. Paketfilter
können von Natur nur die Header-Information auswerten, nicht die
Nutzlast. FTP transportiert aber Information zum Verbindungsaufbau in
der Nutzlast.

Für iptables gibt es da Unterstützung durch nf_conntrack_ftp (filter)

und nf_nat_ftp (nat). Das sind Kernel-Module, die geladen werdenmüssen.(Je nach Kernelversion heißen die - glaube ich - manchmal etwasanders,

aber nat_ftp oder conntrack_ftp haben die immer im Namen.)


diese Module sind geladen.

Sobald Verschlüsslung ins Spiel kommt (FTP mit TLS oder SSL) wird es
komplexer. Dann würde ich sftp (SSH) bevorzugen.

das würde ich generell auch, aber die meisten wollen einen "einfachen"FTP Zugang.

Die komplette Lösung überlasse ich Deiner Kreativität, die dsb-gmbh
(Dein Absender) bietet ja IT-Solutions an ?

auch nach über 24 Jahren im Geschäft gibt es keinen Tag an dem ich nichtlernen muß.


Danke + Gruß

Daniel

Reply to:

Follow-Ups:
- Re: vsftp und doppeltes NAT
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: vsftp und doppeltes NAT
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

References:
- vsftp und doppeltes NAT
  - From: "Daniel Bauer" <mlist@dsb-gmbh.de>
- Re: vsftp und doppeltes NAT
  - From: Heiko Schlittermann <hs@schlittermann.de>

Prev by Date: Re: squeeze geklont und neues MB - was nun?
Next by Date: Re: nach update von xserver-xorg-video-radeon kein X
Previous by thread: Re: vsftp und doppeltes NAT
Next by thread: Re: vsftp und doppeltes NAT
Index(es):
- Date
- Thread