Søg
Avatar billede zliber Nybegynder
24. januar 2005 - 14:54 Der er 9 kommentarer og
2 løsninger

FTP igennem IPTABLES

Hej eksperter!

Jeg har et LAN, en server som det hele drejer sig om, og på den anden side af serveren har jeg internettet.

Serveren kører firewall (iptables), squid(proxy) og dhcp.

Alt virker, undtagen en ting.
LAN kan ikke bruge FTP på WAN...

Det er muligt at logge ind på en FTP server. Men så snart data skal tilbage, så går det galt. Det er i det sekund den skifter til passive mode, at den dør.

Det er altså muligt at oprette forbindelse, og logge ind, men så snart du skal have listen over filer/mapper, så må man ikke.

Hvad skal jeg gøre??

Jeg kan smide firewall scriptet ind hvis der altså er nogen der vil kigge på det, med mindre der er noget helt almindeligt jeg har glemt...

Det skal lige siges at der er fuldt åbent for port 20 og 21 både i firewall , begge veje og i proxyen.

Det drejer sig om RedHat 8.0.

På forhånd tak!
Avatar billede Slettet bruger
24. januar 2005 - 14:59 #1
Hvilke program bruger du til FTP server ???
Avatar billede bufferzone Praktikant
24. januar 2005 - 16:11 #2
Nu er jeg ikke så stiv til squid opsætningen endnu, men selve IPTables skal du gøre følgende

Åbne for port 21 trafik fra LAN til WAN (internetI
$IPTABLES -A forwardfromlantowan -p tcp --source $LAN_NET --dport 21 -j ACCEPT

Herefter loader du disse moduler. hvorefter den Statefulle inspection vil håndtere resten

#-----------------------------------------------------------------------------
# LOADING ADDITIONAL MODULES
#-----------------------------------------------------------------------------

echo -n "Loading helper-modules        :"

/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

echo "Done"


Jeg kan ikke på stående fod sige dig om der skal sættes noget op i squid. Som jeg husker det, er squid ikke en ftp proxy, hvorfor trafikkeh skulle håndteres af IPTables reglsæt, men jeg kan huske forkert
Avatar billede gozar Nybegynder
24. januar 2005 - 18:07 #3
Du er godt klar over at squid også godt kan håntere ftp ikke?
Jeg har brugt min squid som både ftp og http proxy i flere år.
Avatar billede bufferzone Praktikant
24. januar 2005 - 18:18 #4
gozar>nej Squid er ikke min stærke side
Avatar billede gozar Nybegynder
24. januar 2005 - 18:43 #5
bufferzone:
Det var nu også ment til den oprindelige spørger.
Avatar billede langbein Nybegynder
25. januar 2005 - 00:06 #6
Denne kan vel ikke være rett ??:
$IPTABLES -A forwardfromlantowan -p tcp --source $LAN_NET --dport 21 -j ACCEPT

Dette kan vel leses omtrnet slik: Sett inn i kjeden "forwardfromlantowan" som godkjenner alle pakker med protokoll tcp og opprinnelse fra lokalnett og adressert port 21.

Både "forwardfromlantowan" og "$LAN_NET" må vel sånn sett i denne sammenheng kunne betraktes som "vaiabler" som gjelder bare for en spesifikk firewall på en bestemt PC. Vanligvis så vil vel disse "variablene" ikke finnes slik at denne setningen ikke kan fungere.

Disse tillegsmodulene skulle på den annen side gjøre en god nytte:
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

Ellers så må man også tenke på returtrafikken slik at man for eksempel har en statefull inspection funksjon som tar vare på denne.

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Avatar billede langbein Nybegynder
25. januar 2005 - 00:11 #7
gozar -> Hvordan får man egentlig web klienten til å kjøre via Squid (når man ikke benytter transparant proxy konfigurering). Hvis man for eksempel setter MS Explorer til å kjøre via proxy som http klient, da vil den vel kanskje også, der ved, kjøre via proxy som ftp klient ?? Hva med andre ftp klienter kan de også stilles inn slik ? (Vanlig vis så pleier det jo å gå helt fint å la ftp kjøre via netfilter/iptables, men Squid kunne vel kanskje også være et alternativ.)
Avatar billede langbein Nybegynder
25. januar 2005 - 00:16 #8
"Men så snart data skal tilbage, så går det galt. Det er i det sekund den skifter til passive mode, at den dør."

Dette håndteres av kombinasjonen ftp connection tracking
/sbin/modprobe ip_conntrack_ftp

og statefull inspection:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Du kan med fordel legge ut hele scriptet for man kan jo egentlig ikke endre på en detalj uten å samtidig se på det hele.
Avatar billede gozar Nybegynder
25. januar 2005 - 00:52 #9
Langbein:
Er ikke helt sikker med ms explore. Mener man skal ind i lan instillinger og sætte http proxy til ipadresse:port og ligesådan med ftp. I firefox er det edit >> preferences >> General >> Connection settings. Du kan se konfigurationen her http://gozar.dynu.com/images/firefox.jpeg
Og i linux sætter man simpelhend bare http_proxy og ftp_proxy. eks.
export http_proxy=http://ipadresse:port

Med hensyn til ftp clienter så skal de vist understytte http@user. smartftp virker iverfald.
Avatar billede gozar Nybegynder
25. januar 2005 - 13:31 #10
Jeg beklager. Jeg har taget fejl. squid understytter ikke ftp. Dvs. squid understytter ftp på server siden, men ikke på klient siden. Hold lige tungen lige i munden her. squid kan godt establere forbindelse til ftp og hente ned fra ftp og sende det vidre til klienten. Men squid snakker ikke ftp på client siden. squid snakker kun http på client siden. Det vil sige at ftp clienten skal sende en http forespørgesel til til squid, squid establere så en ftp forbindelse til ftpserveren og henter indholds listen ned, og sendet til ftp clienten via http. ftp clienten skal understytte http proxy for at virke sammen med squid. Hvis det har nogen intresse ser forspørslen sådan her ud:
GET ftp://ftp.kernel.org HTTP/1.0 (og så enter 2 gange)
Avatar billede zliber Nybegynder
07. maj 2005 - 23:18 #11
Jeg må indrømme jeg har givet op og droppet projektet.
Det er lidt svær. Er ked af vi ikke fandt en løsning, også af hensyn til senere spørgere.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
htaccess virker ikke på Ubuntu Server Af Strawberry i Linux 1 03/01/202621:50 04/01/202615:33
squid server på en ubuntu 25.10 server Af dcedata1977 i Linux 6 15/12/202514:45 21/12/202517:52
Chromium Netbrowser har Yahoo - Kan jeg skifte til Google ? Hvordan Af Ikke-ekspert i Linux 2 04/10/202518:24 05/10/202511:32
Debian - Map drev/folder på AS400 V4R4 Af ingeman i Linux 7 08/09/202515:27 10/09/202512:18
Windows server 2025 Datacenter Af ingeman i Linux 9 02/09/202509:00 02/09/202513:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
22/0120:51 Knap til ipad Af FinnLauridsen i Excel
21/0113:53 Icloud mail via Outlook Af lbc i E-mail programmer
21/0108:32 USB NØGLE gratis Af nu_igen i Andet hardware
20/0121:11 Hvordan får jeg reCAPTCHA på min hjemmeside? Af Strawberry i PHP
20/0116:10 Tomt felt i Start Af ErikHg i Windows
White papers
Flere white papers »