linux-l: Passive FTP IP_MASQ-Problem

Oliver Hillmann ohil at tequila.in-berlin.de
Do Mär 18 01:06:59 CET 1999


Hallo,

Das Setup: Zwei, drei Clientrechner im privaten Netz (192.168.1.0/
255.255.255.255.0), ein dual-homed Host als Gateway zum Internet (via PPP
und Modem, feste IP), welcher IP Masquerading macht. Die Masq-Regeln (mit
ipfwadm)  sehen in etwa so aus: 

- Vom internen Netz darf alles auf den Firewallrechner connecten.
- Der Firewall darf überall hinconnecten.
- Masquerading von drinnen nach draußen findet statt für HTTP (Port 80),
  FTP (Port 20, 21). TELNET auf bestimmte Hosts.

Für FTP benutze ich das ip_masq_ftp-Modul mit ports=20,21 als Parameter. 
Bei aktiven FTP-Clients im privaten Netz, die PORT()-Kommandos absetzen,
funktioniert das prima... Allerdings nicht für passive Clients... Bei
aktiviertem Debugging im entsprechenden Kernelmodul ist zu sehen, daß
alles richtig erkannt wird (PASV und die entsprechende Response "227 bla
bla bla (xxx,xxx,xxx,xxx,yyy,yyy)", ebenso wie PORT()-Kommandos im anderen
Fall..), aber das Masquereading scheitert trotzdem, sagt mir das Kernel
Logging. Nix kommt durch. 

Hab mir schon die Sourcen angeguckt, hat nix genutzt, weiß aber nicht
weiter.... Hat jemand einen Tip? Das ganze läuft mit Kernel 2.0.36 und -
wie gesagt - ipfwadm. 

Danke-schö-hön! :)

Oli
-- 
Oliver Hillmann, Berlin (Germany) <ohil at tequila.in-berlin.de>



Mehr Informationen über die Mailingliste linux-l