ftp igennem SuSE gateway

Prøv med ftp klienten is passive mode.

*i passive mode

ja der virker det, men jeg vil gerne kunne køre FTP i active... hvordan kan jeg det ?

Må desværre skuffe dig og sige at det er umuligt med mindre du helt dropper NAT og giver maskinen ip direkte på nettet.
NAT + FTP har alle dage været en dårlig kombination. Desuden er det et svært problem at indkredse, idet problemet også sagtens kan ligge i NAT på den server du forsøger at oprette forbindelse til.

Jeg har dog eet forslag som har en spinkel chance for at virke: Der er til Netfilter/iptables et kernel modul der hedder conntrack for ftp. Få det loadet hvis du ikke allerede har.
Hvis det allerede er loadet ifølge lsmod, så er der ikke nogen måde. - Ud over at du selv griber din C compiler og retter i source koden til modulet. =)

det har jeg ikke... hvis du fixer mig et link og et par hurtige ord om hvordan jeg får det instaleret på min SuSE 9.0 så er det dine point ;)

1) Active ftp

The ftp client sends a port number over the ftp channel via a PORT command to the ftp server. The ftp server then connects from port 20 to this port to send data, such as a file, or the output from an ls command. The ftp-data connection is in the opposite sense from the original ftp connection.

To allow active ftp without knowing the port number that has been passed we need a general rule which allows connections from port 20 on remote ftp servers to high ports (port numbers > 1023) on ftp clients. This is simply too general to ever be secure.

Enter the ip_conntrack_ftp module. This module is able to recognize the PORT command and pick-out the port number. As such, the ftp-data connection can be classified as RELATED to the original outgoing connection to port 21 so we don't need NEW as a state match for the connection in the INPUT chain. The following rules will serve our purposes grandly:

iptables -A INPUT    -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html


Du kan loade ip_conntrack_ftp driveren ved at skrive:
modprobe ip_conntrack_ftp

Hvis det ikke virker så skal du til at finde source koden til den kernel du benytter, og dernæst compilere modulet ip_conntrack_ftp.

Held og lykke!