Home » WLAN & Router Sicherheit sowie Konfiguration » FTP-Server hinter Router geht nur bis zu "LIST" » Themenansicht
FTP-Server hinter Router geht nur bis zu "LIST" |
||
|---|---|---|
| #0
| ||
|
11.07.2003, 08:02
...neu hier
Beiträge: 9 |
||
 
|
|
|
|
11.07.2003, 10:12
Member
 Beiträge: 907 |
#2
normalerweise stört es den client nicht, wenn du aktives FTP über einen anderen datenport nutzt
der client muss dies nur wissen  bist du sicher, dass auch die pakete nicht am paketfilter gedroppt werden? kannst ja mal vorsorglich alle einkommenden pakete erlauben und dann testen, ob es mit dem client geht ist ein bisschen tricky ftp und nat greez |
|
|
|
|
|
|
11.07.2003, 13:25
...neu hier
Themenstarter Beiträge: 9 |
#3
einen Paketfilter hab ich gar nicht am laufen...
Ich hab jetzt mal mit einem Sniffer den Verkehr überwacht und festgestellt, dass gar keine Pakete, ausser über den Port 21, vom Server kommen. Hier der ganze Ablauf: No. Time Source Destination Protocol Info 1 0.000000 172.20.65.7 195.141.250.211 TCP 1368 > ftp [SYN] Seq=2776154725 Ack=0 Win=16384 Len=0 2 0.023397 195.141.250.211 172.20.65.7 TCP ftp > 1368 [SYN, ACK] Seq=1134226601 Ack=2776154726 Win=17520 Len=0 3 0.023413 172.20.65.7 195.141.250.211 TCP 1368 > ftp [ACK] Seq=2776154726 Ack=1134226602 Win=17520 Len=0 4 0.051615 195.141.250.211 172.20.65.7 FTP Response: 220 Welcome to the schlaffhausen.ch FTP-Server 5 0.056551 172.20.65.7 195.141.250.211 FTP Request: USER Azrael 6 0.078294 195.141.250.211 172.20.65.7 FTP Response: 331 User Azrael Ok, password please 7 0.083314 172.20.65.7 195.141.250.211 FTP Request: PASS *g* 8 0.101721 195.141.250.211 172.20.65.7 FTP Response: 230 Password Ok, User logged in 9 0.106791 172.20.65.7 195.141.250.211 FTP Request: SYST 10 0.122358 195.141.250.211 172.20.65.7 FTP Response: 215 UNIX Type: L8 11 0.127006 172.20.65.7 195.141.250.211 FTP Request: FEAT 12 0.146617 195.141.250.211 172.20.65.7 FTP Response: 502 Unrecognized or unsupported command 13 0.153283 172.20.65.7 195.141.250.211 FTP Request: PWD 14 0.175283 195.141.250.211 172.20.65.7 FTP Response: 257 "/" is the current directory 15 0.188016 172.20.65.7 195.141.250.211 FTP Request: TYPE A 16 0.204991 195.141.250.211 172.20.65.7 FTP Response: 200 Type ASCII 17 0.213136 172.20.65.7 195.141.250.211 FTP Request: PORT 172,20,65,7,5,89 18 0.236890 195.141.250.211 172.20.65.7 FTP Response: 200 Port command received 19 0.242489 172.20.65.7 195.141.250.211 FTP Request: LIST -aL 20 0.431866 195.141.250.211 172.20.65.7 TCP ftp > 1368 [ACK] Seq=1134226857 Ack=2776154819 Win=17424 Len=0 21 21.263829 195.141.250.211 172.20.65.7 FTP Response: 150 Opening data connection 22 21.442709 172.20.65.7 195.141.250.211 TCP 1368 > ftp [ACK] Seq=2776154819 Ack=1134226886 Win=17236 Len=0 23 21.462290 195.141.250.211 172.20.65.7 FTP Response: 500 List command failed 24 21.643883 172.20.65.7 195.141.250.211 TCP 1368 > ftp [ACK] Seq=2776154819 Ack=1134226911 Win=17211 Len=0 25 81.492340 172.20.65.7 195.141.250.211 FTP Request: \002 26 81.493335 195.141.250.211 172.20.65.7 TCP ftp > 1368 [RST] Seq=1134226911 Ack=0 Win=0 Len=0 27 92.896860 172.20.65.7 195.141.250.211 TCP 1340 > ftp [RST] Seq=2714794028 Ack=1312817764 Win=0 Len=0 Dann muss es wohl am Router liegen...? Komisch ist nur, dass ich ja gar keine Ports sperren kann; ich hab lediglich NAT laufen, was aber bei aktivem FTP kein Problem sein sollte. Bitte um Aufklärung ;-) __________ Wenn dir das Leben an den Kopf spuckt, dann spuck zurück! Dieser Beitrag wurde am 11.07.2003 um 13:26 Uhr von Azraelzero editiert.
|
|
|
|
|
|
|
11.07.2003, 13:58
Member
 Beiträge: 5291 |
#4
also du musst ja zwei mal forwarden/mappen.
A: random client verbindet sich von (N > 1024) nach ftp-control(21) Server. B: FTP Server verbindet sich von ftp-data(20) nach random client (N > 1024). So läuft das ganze du musst also einmal für das komplette Internet 21 zur ip des ftp servers auf port 21 mappen, und einmal den port 20 vom ftp server nach 0/0. So das der ftp server jederzeit die datenverbindung zum client aufbauen kann. passiv wäre natürlich etwas elleganter könnte ja sein das client auch hinter nem router ist Naja wenn du das alles beachtest sollte es funktionieren. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
11.07.2003, 14:14
...neu hier
Themenstarter Beiträge: 9 |
#5
Es müsste aber doch auch gehen, wenn ich nur den Port 21 mappe oder?
Ich meine bei aktivem FTP baut der Server ja die Verbindung auf und geht dann über den Router raus. Da bekommt er zwar eine neue IP-Adresse und einen anderen Port (NAT), aber das sollte ja nichts ausmachen. Wer aber noch mal schauen, auf jeden Fall danke für die Hilfe! __________ Wenn dir das Leben an den Kopf spuckt, dann spuck zurück! |
|
|
|
|
|
|
11.07.2003, 14:15
Member
Beiträge: 5291 |
#6
Nein das ist falsch ftp-command ist nur für die Befehlsstruktur zu ständig, alle daten gehen über ftp-data. Er bekommt auch keine neue Adresse. Network Address Translation bedeutet das die Addresse oder der Port verändert wird, in die Addresse des Routers. Der Router wird die Packete wieder zum FTP Server schicken.
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
11.07.2003, 14:30
...neu hier
Themenstarter Beiträge: 9 |
#7
Das wollt ich damit eigentlich sagen (war ein ein wenig wässrig, die Beschreibung, ich weiss)
 Aber dieser Data-Port muss ja nur von innen nach aussen, also von meinem FTP-Server zum Client, geöffnet werden und das sollte funktionieren. __________ Wenn dir das Leben an den Kopf spuckt, dann spuck zurück! |
|
|
|
|
|
|
30.07.2003, 16:47
...neu hier
Beiträge: 3 |
#8
Hallo
Versuche auch per FTP einen Zugang zu bekommen. Dies funktioniert interessanterweise zu STRATO ohne Probleme. Allerdings zu 1&1 funktioniert es nicht. Passives FTP geht bei beiden ich benötige jedoch aktives FTP, da Frontpage nur aktives unterstützt. Mein Problem zeigt sich nun auch in einem Hängenbleiben beim LIST Kommando. Ansonsten W2K Allnet 1295 Router. Ohne Router gehts auch. Ich weiss nun nicht wo ich das was mappen kann und bin völligst am verzweifeln. Vielleicht habt ihr ja eine Idee. |
|
|
|
|
|
|
30.07.2003, 22:38
Member
Beiträge: 5291 |
#9
@Matthias76
Du kannst aber nun mal nicht per active connecten wenn zwischen dir und dem Ziel ein Router ist. Und warum denn Fronpage, gibts da keine Alternativen? __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
31.07.2003, 19:14
...neu hier
Beiträge: 8 |
#10
Also entweder ich bin zu blöd oder ich kapier hier eas nicht.......
Also mei prob bezieht sich auch genau auf diese Sache aber ich ahbe schon mit meinem Router dem Lanware BR-1200 Portforwarding und Virtuel Server etc alles gemacht aber er macht nicht das was er soll...... Also wäre jemand so freundlich und würde mir das ganze mit FTP anhand meines Routers erklären weil ich glaube echt ich bin zu blöd für dies..... Ich behaupte von mir schon Kenntnisse im bereich von hardware, Software und PC's zu haben aber hier bin ich im Moment echt überfragt..... Ich bedanke mich schonmal im vorraus für die Hilfe.... __________ thERIPP3R....... Man kann vieles Wissen aber nicht alles ;P.... |
|
|
|
|
|
|
01.08.2003, 00:03
Member
Beiträge: 907 |
#11
@WnDthERIPP3R
du hast also pass ftp versucht? im grunde musst du da gar nix forwarden auf dem router, wenn der client entsprechende verbindungsrechte nach außen hat weil es wird keine verb. von außen initiiert der router muss nur verbindungsanfragen von innen nach a) außen port 21 und b) außen port > 1024 erlauben greez |
|
|
|
|
|
|
07.08.2003, 14:04
...neu hier
Beiträge: 2 |
#12
Hi....ich habe das gleiche problem...nur sitze ich hinter einem suse linux router mit iptables....im pasv mode geht der LIST befehl überhaupt nicht und im aktive mode geht es aber auch nicht immer...also bei manchen usern funktioniert der list befehl bei manchen aber auch wieder nicht...an was liegt das!?
danke für jede hilfe Gruß skytrix |
|
|
|
|
|
|
07.08.2003, 14:18
Member
Beiträge: 5291 |
#13
@Skytrix
vielleicht ja an deinen iptables, wenn der ftp server passive mode unterstüzt dann geht es auch bei dir. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
07.08.2003, 16:38
Member
Beiträge: 907 |
#14
da ich grad ein bisschen faul bin (HITZE!!!) und mein script kein ftp fürs forwarding vorsieht, hier eine lösung aus der netfilter mailinglist
-- snip -- $IPTABLES -A FORWARD -p tcp -s $i --sport 1024:65535 -d $j --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -p tcp -s $j --sport 21 -d $i --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -p tcp -s $i --sport 1024:65535 -d $j --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -p tcp -s $j --sport 1024:65535 -d $i --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT Where $i is the ftp client and $j the ftp server. For this to work correctly you need to load the ftp conntrack helper module. -- snip -- greez |
|
|
|
|
|
|
09.08.2003, 13:27
...neu hier
Beiträge: 2 |
#15
danke....für die hilfe hat sich mitlerweile schon erledigt!
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Grade habe ich einen Router (SMC Barricade 7004VBR) bei mir zu hause eingerichtet, hinter dem ein FTP Server steht. Das PortForwarding hab ich für Port 21 aktiviert und ich kann auch connecten, aber irgendwie schlägt das LIST-Command immer fehl...
Frage: Stört es den FTP-Client, wenn die Antwort des Servers(aktives FTP) nicht über den Port 20 kommt (ich verwende NAT)?
PS. Wirklich informatives Forum. Hab schon lange nach sowas im Netzwerkbereich gesucht ;-)
__________
Wenn dir das Leben an den Kopf spuckt, dann spuck zurück!