[linux-l] ftp-upload-Firewallregeln

Jan-Benedict Glaw jbglaw at lug-owl.de
Mo Jul 11 18:35:15 CEST 2005 

On Mon, 2005-07-11 18:26:53 +0200, Kai Kruse <falscherfilm at gmx.net> wrote:
> On Monday 11 July 2005 16:51, Jan-Benedict Glaw wrote:
> > On Thu, 2005-08-11 11:57:15 +0200, Ralf Baerwaldt <BAERWALD at de.ibm.com> 
> wrote:
> > > >  SSH2 wuensche ich mir fuer die Zukunft, in meinem LAN funkioniert
> > > > das, trotzdem
> > > > koennte ich auch hier einen Tipp fuer meine Firewall gebrauchen.
> > >
> > > Hallo Kai,
> > >
> > > also fuer dein FTP-Problem kann ich dir keinen Tipp geben.
> > > Ich nehme zumindest an, dass du Port 20+21 in beide Richtungen
> > > freigegeben hast. Dann sollte es meines Wissens nach auch
> > > funktionieren. Oder hast du die Zugriffe IP-maessig eingeschraenkt ?
> >
> > FTP ist ein etwas "doof" designtes Protokoll. Es werden Verbindungen in
> > *beide* Richtungen aufgemacht; dabei wird innerhalb des Protokolls
> > uebermittelt, wohin die 2te Verbindung geoeffnet werden soll. Daher
> > reicht bei FTP eine einfache Paket-Firewall nicht aus, man braucht
> > Connection-Tracking dazu.
> 
> >
> > Man kann versuchen, den "passive mode" zu benutzen, das muessen dann
> > aber beide Seiten koennen.
> 
> Den passiven Modus kann der FTP-Server des Hosters, allerdings bin ich mir 
> nicht sicher, dass meine Router-Firewall damit etwas anfangen kann.

Aus Sicht einer Firewall ist passive mode der Standardfall, während
normales FTP ein Ausnahme-Fall ist.

Daher müßte für normales FTP zumindest das conntrack-Zeugs am Laufen
sein, aber für passive FTP reichen die Möglichkeiten des einfachen
Paketfilters.

MfG, JBG

-- 
Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481             _ O _
"Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg  _ _ O
 fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!   O O O
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20050711/88cc522d/attachment.sig>

Mehr Informationen über die Mailingliste linux-l