ftp hinter externem Router

13/03/2016 - 22:50 von Joachim Hartmann | Report spam
Hallo zusammen,
ich betreibe hinter einer Fritx!Box einen ftp-Server (proftpd). Auf dem
Port 21
klappt das auch recht gut. Da der Server nur privat genutzt werden soll
möchte
ich gerne den Port 123 (Platzhalter) nutzen, das klappt aber nicht, obwohl
- der passive Modus (Ports 65000 - 65030) ist aktiviert
- in der Konfiguration des Servers der Port geàndert wurde
- die entsprechende Portweiterleitung im Router aktiviert ist
Der FireFTP und auch FileZilla zeigen die Begrüßungsmeldung, aber nicht
den Ver-
zeichnisbaum an.
- Auch die Direktive MasqueradeAddress àndert nicht daran.
- cat /proc/sys/net/ipv4/ip_forward liefert 1
- cat /etc/network/interfaces liefert
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.xxx.xx3
netmask 255.255.255.0
network 192.168.xxx.0
broadcast 192.168.xxx.255
gateway 192.168.x.xx1
- iptables ist leer (Routing und Firewall sind ja in der Fritz!Box)
Was mach ich falsch?

Gruß aus der Stadt der CeBIT
Jochen
 

Lesen sie die antworten

#1 Heiko Schlittermann
13/03/2016 - 23:10 | Warnen spam

Moin,

Joachim Hartmann (So 13 Mà¤r 2016 22:47:36 CET):
Hallo zusammen,
ich betreibe hinter einer Fritx!Box einen ftp-Server (proftpd). Auf dem Port
21
klappt das auch recht gut. Da der Server nur privat genutzt werden soll
möchte
ich gerne den Port 123 (Platzhalter) nutzen, das klappt aber nicht, obwohl
- der passive Modus (Ports 65000 - 65030) ist aktiviert
- in der Konfiguration des Servers der Port geà¤ndert wurde
- die entsprechende Portweiterleitung im Router aktiviert ist



Von aussen betrachtet muss ich durch die Fritzbox, bevor ich Deinen
Server erreiche?

FTP „passive“ wurde eher fà¼r Clients erfunden, die hinter doofen
Firewalls sitzen, weniger fà¼r Server, deren Firewalls zu doof sind.

Passiver Modus? Das kann man im Server aktivieren? Ich meine, das
wà¼nscht sich der Client bei jedem Kommando extra.

Und es bedeutet dann, dass der Server dem Client mitteilt, von welchem
Port er sich die Daten (Verzeichnisbaum z.B.) abholen kann. Das ist
vermutlich das, was Du dort mit 65000-65030 eingestellt hast.

Dein Router mà¼sste à¼ber „stateful inspection“ auch „passive“
Verbindungen zum Server durchlassen. mà¼sste also Serverantworten
mitlesen und wà¼sste dann, welcher Port nach innen noch durchgelassen
werden mà¼sste. Da Du aber die Steuerverbindung à¼ber einen anderen als
Port 21/TCP abwickelst, kann die Fritzbox das vermutlich nicht.

Da ist m.W. auch nur ein Linux drin, und vermutlich mit conntrack_ftp in
der Firewall. Das ist auf „normalen“ Systemen ein Modul, dem man beim
Laden sagen kann, dass auf einem anderen als 21/TCP nach FTP geguckt
werden muss.

Wenn Du das nicht à¤ndern kannst/willst, mà¼sstests Du auf der Fritzbox
den Range der Serverports 65000-65030 freigeben und zum Server
forwarden.

Wird aber vermutlich immer noch nicht reichen, weil bei „passive“ der
Server ja dem Client mitteilt, auf welcher IP:Port die Daten bereit
stehen, das genau mà¼sste aber beim NAT im Layer 7 auch angepasst werden,
à¼ber nat_ftp (selbes Spiel mit dem Port wie oben). Das wiederum wird
nicht greifen, weil Du einen anderen als den Standard-Port verwendest.

Du kannst auf der Clientseite mit tcpdump sniffern und wirst sehen,
welche IPs/Ports der Server sich wà¼nscht im den Antworten auf „ls“.

Vermutlich steht da noch die private Adresse des Servers drin.

Mit anderen Worten: Die Clients haben nur eine Chance bei „aktivem“ FTP,
und vermutlich auch nur, wenn Du deren Firewall beibringst, dass Du
einen anderen Port verwendest fà¼r das FTP-Protokoll (modinfo hilft, den
passenden Parameter zu ermitteln).

Aber im Ernst, SCP/SFTP sind nicht gut genug?

Best regards from Dresden/Germany
Viele Grà¼àŸe aus Dresden
Heiko Schlittermann
SCHLITTERMANN.de - internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome key ID: F69376CE -
! key id 7CBF764A and 972EAC9F are revoked since 2015-01 -



Ähnliche fragen