Re: vsftp und doppeltes NAT

To: debian-user-german@lists.debian.org
Subject: Re: vsftp und doppeltes NAT
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Wed, 30 Jan 2013 14:11:32 +0100
Message-id: <[🔎] E1U0XRs-0004Zl-8E@swivel.zugschlus.de>
In-reply-to: <[🔎] F81F14DA5B6E42B283433CEAB06172F0@dsb.local>
References: <[🔎] 36741F533D4D4FCF97BB6BEBD664E00A@dsb.local> <[🔎] 20130129190420.GF27723@jumper.schlittermann.de> <[🔎] F81F14DA5B6E42B283433CEAB06172F0@dsb.local>

On Tue, 29 Jan 2013 21:15:06 +0100, "Daniel Bauer" <mlist@dsb-gmbh.de>
wrote:
>Der Aufbau ist folgender:
>
>10.20.1.180 (FTP Server)
><->
>10.20.0.1 (Firewall)
>192.168.1.11
><->
>192.168.1.1 (Fritzbox)
>ext. IP
><->
>ext. IP
>10.30.0.1 (Firewall)
><->
>10.30.1.x (FTP Client)
>
>Sobald ich nun den FTP Server auf die 192.168.1.12, oder den FTP Client 
>auf die externe IP lege funktioniert das Ganze. Aber fast jeder Client 
>ist hinter einem Router und nicht direkt im Internet.

NAT vor dem Client _und_ vor dem Server geht bei ftp nicht ohne
"intelligente" Firewalls.

Was in Deinem Setup am ehesten geht ist, auf der Fritzbox alle hohen
TCP-Ports auf die Firewall weiterzuleiten und auf der Firewall alle
hohen TCP-Ports auf den FTP-Server weiterzuleiten. Dann wird
wenigstens passives ftp (bei dem der Client auch die Datenverbindung
aufmacht) funktionieren.

Aktives ftp (Client macht die Steuerverbindung auf und der Server
connected zurück) wird nicht gehen, ohne dass die Firewall vor dem
Client die Steuerverbindung mitliest und sinnvoll handelt (connection
tracking, mit NAT-Helper für ftp).

>> Für iptables gibt es da Unterstützung durch nf_conntrack_ftp (filter)
>> und nf_nat_ftp (nat). Das sind Kernel-Module, die geladen werden 
>> müssen.
>> (Je nach Kernelversion heißen die - glaube ich - manchmal etwas 
>> anders,
>> aber nat_ftp oder conntrack_ftp haben die immer im Namen.)
>
>diese Module sind geladen.

Sie müssen geladen sein wenn die erste Steuerverbindug gesehen wird.
Nachträglich laden funktioniert nicht!

>> Sobald Verschlüsslung ins Spiel kommt (FTP mit TLS oder SSL) wird es
>> komplexer. Dann würde ich sftp (SSH) bevorzugen.
>
>das würde ich generell auch, aber die meisten wollen einen "einfachen" 
>FTP Zugang.

Den musst Du dann halt entsprechend teurer verkaufen, weil der Aufwand
auf Netzwerkseite ungleich höher ist. Leider ist ftp ums Verrecken
nicht to zu bekommen.

>auch nach über 24 Jahren im Geschäft gibt es keinen Tag an dem ich nicht 
>lernen muß.

ACK. Wenn Du die Dinge verstehen möchtest, bau dir drei VMs: Client,
Server und Firewall. Zuerst lässt du die Firewall nur routen, schaust
Dir an, welche Pakete durchgehen, in welche Richtungen die einzelnen
verbidnungen aufgebaut werden, aktiver und passiver Modus etc. Wenn Du
ftp dann verstanden hast, schaltest Du auf der Firewall NAT ein und
schaust Dir das ganze nochmal an.

So ähnlich habe ich damals gelernt, wie IP funktioniert. Und den
Stevens gelesen habe ich bis heute nicht, muss ich zugeben.

"Ähnlich" deswegen, weil ich damals die Firewall auf "deny all" stehen
hatte, das war zwar langwieriger aber vermutlich auch lehrreicher als
wenn jedes Paket einfach direkt durchgegangen wäre.

Grüße
Marc
-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

References:
- vsftp und doppeltes NAT
  - From: "Daniel Bauer" <mlist@dsb-gmbh.de>
- Re: vsftp und doppeltes NAT
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: vsftp und doppeltes NAT
  - From: "Daniel Bauer" <mlist@dsb-gmbh.de>

Prev by Date: Re: Upgrade zu squeeze: Problem mit Mailadresse
Next by Date: Re: 120-GB USB-Platte macht Zicken
Previous by thread: Re: vsftp und doppeltes NAT
Next by thread: IPsec, Strongswan und Side-to-Side
Index(es):
- Date
- Thread