• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Zugriff auf den eigenen FTP-Server übers internet aus dem ei

Pentidumm

Newbie
Hi,

ich habe ein kleines LAN, momentan 2 Clients (Win2K) und 1 Server (SuSE 9.0). Der Server dient als Gateway ins Internet und soll gleichzeitig auch einen FTP- und einen WWW-Server bereitstellen.
Der Zugang ins Netz läuft für die Clients einwandfrei, diese können auch auf externe FTP-Server zugreifen, beispielsweise ftp.suse.de. Nun wollte ich mit den Clients auf meinen eigenen FTP-Server (myname.dyndns.org) zugreifen, dies funktioniert aber nicht. Die SuSEFirewall 2, die ich auf dem Server installiert habe, scheint da noch irgend etwas abzuglocken. Wenn ich nach dem Zugriffsversuch in /var/log/messages gucke steht dort folgendes:

Code:
Kernel: SuSE-FW-ACCESS_DENIED_INT IN=eth1 OU#T= MAC=00:30:4c:e8:16:c9:00:05:5d:d3:c6:0c:08:00 SRC=192.168.0.1 DST=217.229.106.141 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=5051 DF PROTO=TCP SPT=3270 DPT=21 WINDOW=32767 RES=0x00 SYN URGP=0 OPT (020405B40103030001010402)

In /etc/sysconfig/SuSEFirewall2 hab ich folgende FW_-Einträge gesetzt:

Code:
FW_SERVICES_EXT_TCP="ftp http smtp ssh"
FW_SERVICES_EXT_UPD="20 21"
FW_SERVICES_INT_TCP="ftp http"
FW_SERVICES_INT_UDP="20 21"

Muss ich noch irgendwelche anderen Ports öffnen oder irgendetwas weiterleiten, damit ich auch an den angeschlossenen Clients bei aktivierter Firewall zugriff auf meinen FTP-Server hab, wenn ich in die Adressleiste ftp://mydomain.dyndns.org eingebe.

Danke schonmal im Voraus für Eure Hilfe
Gruß Pentidumm
 

Bomber8475

Member
Du willst von Deinem LAN aus über die dyndns.org Adresse dein FTP-Server erreichen?

Damit ich auf diese Art meinen eigenen Webserver erreichen kann (denke mal das wird dann bei Deinem FTP genauso sein) hab ich eine kleine Sache machen müssen:

In der Datei:
Code:
/etc/sysconfig/scripts/SuSEfirewall2-custom
hab ich unter
Code:
fw_custom_before_antispoofing
folgendes hinzugefügt:
Code:
iptables -I INPUT 1 -s 192.168.0.0/24 -j ACCEPT

Den Breich 192.168.0.0 mußt Du natürlich Deinem LAN anpassen
 

maxpowers

Member
hmm ftp is so ne Sache - eigentlich der Grund für einen Admin um graue Haare zu bekommen...

also Grundlegend gibt es 2 ftp Implementierungen - passiv und aktiv

Grundsätzlich ist gleich das der "FTP Client" eine Verbindung über Port 21 iniziert. => FW_SERVICES_EXT_TCP="21"

bei aktivem ftp

erstellt nun dein FTP Server eine Verbindung zum Client über Port 20 an einen beliebigen unpreviligierten Highport (1024-65535)

bei passivem ftp

macht der Client eine weitere Verbindung von einem Beliebigen unprivelegierten Highport an einen unpreviligierten Highport auf...

ich bin mir nicht sicher ob das wirklich über die SuSEfirewall2 realisierbar ist..
ich neige bei Servern eher dazu ein eigenes Firewallscript zu erstellen - weil passives FTP - ja im Prinzip alles erlaubt und wenn mann dann nicht auf seine Dienste im Highportbereich achtet - oje oje...


btw. UDP 20 und 21 eingehend zu erlauben verstehe ich nich so richtig :)
 
Oben