Moin,
Joachim Hartmann <joachim.hartmann@gmx-topmail.de> (So 13 Mär 2016 22:47:36 CET):
> Hallo zusammen,
> ich betreibe hinter einer Fritx!Box einen ftp-Server (proftpd). Auf dem Port
> 21
> klappt das auch recht gut. Da der Server nur privat genutzt werden soll
> möchte
> ich gerne den Port 123 (Platzhalter) nutzen, das klappt aber nicht, obwohl
> - der passive Modus (Ports 65000 - 65030) ist aktiviert
> - in der Konfiguration des Servers der Port geändert wurde
> - die entsprechende Portweiterleitung im Router aktiviert ist
Von aussen betrachtet muss ich durch die Fritzbox, bevor ich Deinen
Server erreiche?
FTP „passive“ wurde eher für Clients erfunden, die hinter doofen
Firewalls sitzen, weniger für Server, deren Firewalls zu doof sind.
Passiver Modus? Das kann man im Server aktivieren? Ich meine, das
wünscht sich der Client bei jedem Kommando extra.
Und es bedeutet dann, dass der Server dem Client mitteilt, von welchem
Port er sich die Daten (Verzeichnisbaum z.B.) abholen kann. Das ist
vermutlich das, was Du dort mit 65000-65030 eingestellt hast.
Dein Router müsste über „stateful inspection“ auch „passive“
Verbindungen zum Server durchlassen. müsste also Serverantworten
mitlesen und wüsste dann, welcher Port nach innen noch durchgelassen
werden müsste. Da Du aber die Steuerverbindung über einen anderen als
Port 21/TCP abwickelst, kann die Fritzbox das vermutlich nicht.
Da ist m.W. auch nur ein Linux drin, und vermutlich mit conntrack_ftp in
der Firewall. Das ist auf „normalen“ Systemen ein Modul, dem man beim
Laden sagen kann, dass auf einem anderen als 21/TCP nach FTP geguckt
werden muss.
Wenn Du das nicht ändern kannst/willst, müsstests Du auf der Fritzbox
den Range der Serverports 65000-65030 freigeben und zum Server
forwarden.
Wird aber vermutlich immer noch nicht reichen, weil bei „passive“ der
Server ja dem Client mitteilt, auf welcher IP:Port die Daten bereit
stehen, das genau müsste aber beim NAT im Layer 7 auch angepasst werden,
über nat_ftp (selbes Spiel mit dem Port wie oben). Das wiederum wird
nicht greifen, weil Du einen anderen als den Standard-Port verwendest.
Du kannst auf der Clientseite mit tcpdump sniffern und wirst sehen,
welche IPs/Ports der Server sich wünscht im den Antworten auf „ls“.
Vermutlich steht da noch die private Adresse des Servers drin.
Mit anderen Worten: Die Clients haben nur eine Chance bei „aktivem“ FTP,
und vermutlich auch nur, wenn Du deren Firewall beibringst, dass Du
einen anderen Port verwendest für das FTP-Protokoll (modinfo hilft, den
passenden Parameter zu ermitteln).
Aber im Ernst, SCP/SFTP sind nicht gut genug?
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: F69376CE -
! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -
Attachment:
signature.asc
Description: Digital signature