linux-l: FTP filtern und FTP aufsetzen

Matthias Kraft MatKraft at gmx.de
Mi Apr 26 13:52:29 CEST 2000


Ich weiss nicht ob sich dein FTP-Problem schon geloest hat, hab aber
ne Antwort darauf und will auch mal was sagen ;-)...

> 2) Ich habe auf einer Firewall einen Paketfilter (ipchains) zu
> laufen, der alles ablehnt und nur einzelne Services zuläßt. Beim
> Zulassen von FTP bin ich auf ein Problem gestoßen. Das reine
> Zulassen der Ports 20 und 21 reicht nicht. Wenn ich auf dem
> FTP-Server einen LIST-Befehl ausführe, erfolgt laut tcpdump eine
> Kommunikation von einem zufällig generierten Port auf dem FTP-Server
> > 1024 auf meinen Source-Port. Da ich diesen Port (beim FTP-Server)
> natürlich nicht freischalten kann, da ich ihn nicht kenne, ist FTP
> mit meiner Firewall-Konfiguration nicht möglich. Ein Inserting des
> ip_masq_ftp-Moduls hat erwartungsgemäß nicht geholfen. Kennt jemand
> eine Lösung für das Problem?

Wenn du FTP nicht auf passive einschraenken kannst, musst du einen
Proxy aufsetzen. SuSE hat dafuer einen entwickelt. Den setze ich jetzt
seit ca. einem viertel Jahr ohne Probleme, aber mit Einschraenkungen
ein.

Das Teil nennt sich hochtrabend Proxy-Suite und ist unter
http://www.suse.de/en/support/proxy_suite/
zu finden.

Wenn deine Firewall auch Masquerading macht musst du wahrscheinlich
damit rechnen, dass du keine FTP-Daten-Verbindung zwischen
gefirewalltem Client und gefirewalltem Server bei _aktivem_ FTP bekommst.
Sollte das wider meiner Erwartungen bei dir doch funktionieren, schick
mir mal deine Telefonnummer damit ich dir ein Loch in den Bauch fragen
kann, wie du das geschafft hast.
Ich weiss nicht, wie weit das Hochlasttauglich ist. Ich binde damit nur
unseren Aussendienstdatenabgleich ein, das ist 7x am Tag drei Dateien
durch die Gegend schieben.

-- 
...mfg / regards Matthias *
 * * * * * * * * * * * * *
* EMail: MatKraft at gmx.de



Mehr Informationen über die Mailingliste linux-l