Re: vsftp und doppeltes NAT - unSOLVED

To: "Debian User" <debian-user-german@lists.debian.org>
Subject: Re: vsftp und doppeltes NAT - unSOLVED
From: "Daniel Bauer" <mlist@dsb-gmbh.de>
Date: Mon, 4 Feb 2013 09:58:29 +0100
Message-id: <[🔎] 4AB48A6914104E0FBA1942BCAFCB00BA@dsb.local>
References: <36741F533D4D4FCF97BB6BEBD664E00A@dsb.local> <20130129190420.GF27723@jumper.schlittermann.de> <F81F14DA5B6E42B283433CEAB06172F0@dsb.local> <E1U0XRs-0004Zl-8E@swivel.zugschlus.de>

Hallo Marc,

From: "Marc Haber"

On Tue, 29 Jan 2013 21:15:06 +0100, "Daniel Bauer" <mlist@dsb-gmbh.de>
wrote:

Der Aufbau ist folgender:

10.20.1.180 (FTP Server)
<->
10.20.0.1 (Firewall)
192.168.1.11
<->
192.168.1.1 (Fritzbox)
ext. IP
<->
ext. IP
10.30.0.1 (Firewall)
<->
10.30.1.x (FTP Client)

Sobald ich nun den FTP Server auf die 192.168.1.12, oder den FTPClient

auf die externe IP lege funktioniert das Ganze. Aber fast jeder Client
ist hinter einem Router und nicht direkt im Internet.


NAT vor dem Client _und_ vor dem Server geht bei ftp nicht ohne
"intelligente" Firewalls.

Was in Deinem Setup am ehesten geht ist, auf der Fritzbox alle hohen
TCP-Ports auf die Firewall weiterzuleiten und auf der Firewall alle
hohen TCP-Ports auf den FTP-Server weiterzuleiten. Dann wird
wenigstens passives ftp (bei dem der Client auch die Datenverbindung
aufmacht) funktionieren.

wie bereits geschrieben, die Firewall hängt als DMZ Host an derFritzbox, damit werden alle Ports durchgereicht.

Aktives ftp (Client macht die Steuerverbindung auf und der Server
connected zurück) wird nicht gehen, ohne dass die Firewall vor dem
Client die Steuerverbindung mitliest und sinnvoll handelt (connection
tracking, mit NAT-Helper für ftp).


und auch hier sind schon alle Module geladen.

Für iptables gibt es da Unterstützung durch nf_conntrack_ftp(filter)

und nf_nat_ftp (nat). Das sind Kernel-Module, die geladen werden
müssen.
(Je nach Kernelversion heißen die - glaube ich - manchmal etwas
anders,
aber nat_ftp oder conntrack_ftp haben die immer im Namen.)


diese Module sind geladen.


Sie müssen geladen sein wenn die erste Steuerverbindug gesehen wird.
Nachträglich laden funktioniert nicht!


Sie werden beim Firewall Start geladen, also mit dem Rechnerstart.

Sobald Verschlüsslung ins Spiel kommt (FTP mit TLS oder SSL) wird es
komplexer. Dann würde ich sftp (SSH) bevorzugen.


das würde ich generell auch, aber die meisten wollen einen "einfachen"
FTP Zugang.


Den musst Du dann halt entsprechend teurer verkaufen, weil der Aufwand
auf Netzwerkseite ungleich höher ist. Leider ist ftp ums Verrecken
nicht to zu bekommen.

auch nach über 24 Jahren im Geschäft gibt es keinen Tag an dem ich
nicht
lernen muß.


ACK. Wenn Du die Dinge verstehen möchtest, bau dir drei VMs: Client,
Server und Firewall. Zuerst lässt du die Firewall nur routen, schaust
Dir an, welche Pakete durchgehen, in welche Richtungen die einzelnen
verbidnungen aufgebaut werden, aktiver und passiver Modus etc. Wenn Du
ftp dann verstanden hast, schaltest Du auf der Firewall NAT ein und
schaust Dir das ganze nochmal an.

habe ich probiert, ich denke, daß die einfachen Router damit nicht klarkommen. Gerade auf Kundenseite habe ich darauf ja wenig Einfluß.

Ich habe jetzt den FTP Server direkt an die Fritzbox mit einer eigenenFirewall gehängt, so habe ich bisher keinerlei Probleme entdeckt. Schadeallerdings, daß ich nun zwei Firewalls pflegen muß.


Danke für alles

Daniel

Reply to:

Prev by Date: Re: vsftp und doppeltes NAT - unSOLVED
Next by Date: Wie entfernten Rechner komplett sichern ???
Previous by thread: Re: vsftp und doppeltes NAT - unSOLVED
Next by thread: Wie entfernten Rechner komplett sichern ???
Index(es):
- Date
- Thread