Passives FTP mit MothaFIREWALL

#1 Hi!
Ich hab mir die Motha Firewall mal geladen und eigentlich gute Erfahrungen gemacht. Jetzt muss ich feststellen, das Passiver FTP Verkehr nicht funzt. Ich habe gelesen, das man mit insmod ip_conntrack_ftp ein modul laden kann, welches den Verkehr regelt. Leider, tut es das aber nicht, obwol es geladen ist.... habt ihr ne Idee was das sein kann?
Muss ich evtl alle Ports >1024 auf machen?

#2 passives ftp port 20
aktives ftp port 21

lsmod <== is ip_conntrack_ftp geladen?
verwende mal modprob

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#3 Hi

@poiin2000

Sorry aber ich muss der sagen das du ein wenig falsch liegst.

tcp/20 (ftp-data)
tcp/21 (ftp-control)

Beim aktiven ftp transfer baut der client eine control verbindung von einem random highport zu dem 21 control port des servers auf. Die Datenverbindung baut der Server auf von einem 20 ftp-data port zu einem random highport des clients.

Beim passiven ftp transfer wird port 20 nicht mehr benutzt sondern der client baut die datenverbindung von einem lowport oder highport zu einem random highport des servers auf. Daher kommt der ausdruck passive ftp.

Die Vorteile liegen klar auf der Hand zb. wenn der client hinter einer firewall steckt und nicht ereichbar ist durch dem passiven modus kann der client dann den datentransfer erichten. Wenn du passive ftp nutzen willst musst du entweder alle highports öffnen! (auf dem server) oder man benutzt einen ftp daemon (dienst) wie zb. proftpd der passive highports spezifizieren kann. Und dann kannst du eine range von 6000 bis 65535 zb. freigeben. Das wäre die beste Möglichkeit nur leider unterstüzen das nicht alle FTP Server.

MFG

Georg Bege
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 Hallo!
Im Motha Script reichte es die SYN Cookies zu aktivieren, damit ein wechsel auf einen Highport möglich wird.
Gruss
Phil