jedie
Anmeldungsdatum: 14. Oktober 2005
Beiträge: 516
|
Es scheind ja nicht so einfach zu sein einen FTP-Server (mit TLS) hinter einem NAT-Router zum laufen zu bringen. Ist es richtig das es nur mit einem FTP-Proxy funktioniert??? Weiß jemand wo man eine Anleitung herbekommt, wie man das einrichten kann? Mit proftpd kenne ich mich grob aus. TLS hab ich auch eingerichtet und lokal klappt alles wunderbar. Nur über's Internet (Server und Client sind hinter einem NAT-Router) geht es nicht ☹
|
jedie
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2005
Beiträge: 516
|
Kann mir da niemand weiter helfen???
|
irgendwer
Anmeldungsdatum: 3. November 2004
Beiträge: 158
|
Hast du die Port Weiterleitung aktiviert, oder wo liegt genau das Problem? mfg Andy
|
jedie
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2005
Beiträge: 516
|
Eigentlich schon... Port 21,22 und für TLS 989, 990... Aber das reicht anscheinend nicht. Es liegt wohl irgendwie daran, das FTP für den Datenverkehr zusätzliche Ports wählt... Kann es sein, das es nicht geht, wenn Server und Client hinter einem NAT-Router hängen??? Ich habe auch noch andere FTP-Server mit denen ich mich als Client ohne Probleme verbinden kann, diese sitzten direkt am Netz (WebSpace Provider)...
|
slazZ
Anmeldungsdatum: 29. Oktober 2005
Beiträge: 165
|
FTP ist immer so eine Sache hinter einem NAT-Router. Liegt daran, dass das FTP Protokoll nicht so ohne weiteres mit Routern harmonisiert. Erstelle mal ein Portforwarding auf dem Router der Ports 20 und 21. Als Ziel IP gibts du die von dem Rechner ein wo der FTP-Server läuft. Solange kein FXP hinzukommt sollte das reichen. greetz
|
mario
Anmeldungsdatum: 18. März 2005
Beiträge: 169
Wohnort: Darmstadt
|
Nein, das reicht nicht, vor allem nicht wenn beide (Server und Client) hinter einem Router sitzen. Beim aktiven FTP scheitert es am NAT des Servers, beim passiven am NAT des Clients. Erklärung Du wirst um etwas wie einen FTP Proxy nicht rumkommen, wenn beide hinter einem NAT Router sitzen. Allerdings hab ich selbst noch nie einen aufgesetzt, die Suchmaschine deiner Wahl wird hier aber bestimmt fündig. mario
|
jedie
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2005
Beiträge: 516
|
Das ist ja sehr ärgerlich! Ein ftp-proxy muß aber dann wohl zwischen den beiden sitzten und halt nicht hinter einem NAT oder kann der auf dem Rechner drauf auf dem der FTP-Server selber ist??? btw. Dein Link zur Erklärung informiert allerdings nur über den Unterschied zwischen passiv und aktivem FTP, nicht aber die Problematik in Zusammenhang mit NAT-Router ☹
|
mario
Anmeldungsdatum: 18. März 2005
Beiträge: 169
Wohnort: Darmstadt
|
jedie hat geschrieben: btw. Dein Link zur Erklärung informiert allerdings nur über den Unterschied zwischen passiv und aktivem FTP, nicht aber die Problematik in Zusammenhang mit NAT-Router ☹
Doch der Link erklärt genau die Problematik die sich mit NAT Routern ergibt. Denn ein NAT Router weist von außen initialisierte Verbindungen ab, und genau dies passiert bei FTP. Beim aktiven initialisert der Server eine Verbindung zum Client, die der NAT Router abweist, da der Verbindungsaufbau nicht durch einen Rechner im LAN geschehen ist. Beim passivem initialisiert der Client eine Verbindung zum Server, welche der NAT Router vor dem Server aus demselben Grund abweist wie oben. mario
|
jedie
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2005
Beiträge: 516
|
Na, das ist doch mal eine Erklärung, die einleuchtet: mario hat geschrieben: Denn ein NAT Router weist von außen initialisierte Verbindungen ab, und genau dies passiert bei FTP. Beim aktiven initialisert der Server eine Verbindung zum Client, die der NAT Router abweist, da der Verbindungsaufbau nicht durch einen Rechner im LAN geschehen ist. Beim passivem initialisiert der Client eine Verbindung zum Server, welche der NAT Router vor dem Server aus demselben Grund abweist wie oben.
Aber wie ist das mit einem ftp-proxy? Darf der hinter einem NAT liegen?
|
mario
Anmeldungsdatum: 18. März 2005
Beiträge: 169
Wohnort: Darmstadt
|
jedie hat geschrieben: Aber wie ist das mit einem ftp-proxy? Darf der hinter einem NAT liegen?
Ich denke mal ja, da sich afaik dann der Proxy um den Datenstrom (welcher in deinem Fall relevant ist) kümmert, kann es aber auch nicht hundertprozentig bestätigen, da ich selbst noch keinen ftp-proxy aufgesetzt habe. Aber sieh doch mal auf ftpproxy.org nach. Es gibt auch ein ftp-proxy Paket bei ubuntu im Repository universe
mobile:~$ aptitude show ftp-proxy
Paket: ftp-proxy
Neu: ja
Zustand: nicht installiert
Version: 1.9.2.4-1
Priorität: optional
Bereich: universe/net
Verwalter: Roberto Lumbreras <rover@debian.org>
Unkomprimierte Größe: 365k
Hängt ab von: libc6 (>= 2.3.4-1), libwrap0
Beschreibung: application level proxy for the FTP protocol
FTP-Proxy is a transparent, application-level proxy server for FTP connections, designed to protect FTP servers
against attacks based on the FTP protocol. It is the first (and currently only) component of the SuSE Proxy Suite, a
set of programs to enhance firewall security.
FTP-Proxy is much less complex than any current FTP server, has been designed with great care and performs chroot(),
setuid(), setgid() to avoid possible vulnerabilities, and is believed to be immune against current known attacks.
Further information can be obtained from <URL: http://proxy-suite.suse.de>
FTP-Proxy features include:
o Securely relays FTP connections between clients and servers
o Can switch connections from active to passive and vice versa
o Utilizes port ranges for both control and data connections
o Provides extensive auditing (via syslog or rotating log files)
o Can separate user related from system triggered audit events
o Provides command restriction based on logged in user name
o Allows command argument checking with regular expressions
o Is able to retrieve configuration data from an LDAP directory
o Has been thoroughly tested against buffer overflow attacks
o Fully conforms to RFC 959 and 1123 (the basic FTP RFCs)
o Planned to support RFC 1579 ("Firewall Friendly FTP")
o Planned to support RFC 2428 (IPv6 Extensions for FTP)
o Based on GNU AutoConf, supposed to run on many UNIX systems mario
|
jedie
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2005
Beiträge: 516
|
mario hat geschrieben: jedie hat geschrieben: Aber wie ist das mit einem ftp-proxy? Darf der hinter einem NAT liegen?
Aber sieh doch mal auf ftpproxy.org nach.
Da finde ich keine relevanten Informationen zum Thema NAT... Ich kann mir allerdings nicht vorstellen, das es funktionieren würde... Ich meine was ändert das daran, das beide Seiten hinter einem NAT "versteckt" sind??? mario hat geschrieben: Es gibt auch ein ftp-proxy Paket bei ubuntu im Repository universe
Denn hatte ich mir mal angeschaut... Aber ich wurde nicht so richtig schlau draus ☹
|
haraldkl
Anmeldungsdatum: 21. Juli 2005
Beiträge: 1903
Wohnort: Würselen
|
Hi, ich denke der Proxy muss auf der NAT-Maschine laufen. Vielleicht hilft dir auch die Info von OpenBSD dazu weiter: http://www.openbsd.org/faq/pf/ftp.html 😉
|
Gizzmo
Anmeldungsdatum: 30. November 2005
Beiträge: 360
Wohnort: München
|
Also wenn du einen aktiven FTP Server hat, brauchst du kein ftpproxy. Hab selber mal daheim einen aktiven FTP Server am laufen gehabt und da konnte jeder drauf, egal ob mit oder ohne NAT. Bei nem passiven FTP hast du ein Problem, da geht es so nicht ☺
|
jedie
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2005
Beiträge: 516
|
Also so wie ich das jetzt verstanden hab, kommt es erst dann zum Problem, wenn Client und Server hinter einem NAT hängen. Dann soll es auch egal sein, ob man aktiv oder passiv arbeitet. Ist das auch in deinem Falle so gewesen??? Zur Info: Beim Testen hatte ich proftpd genommen...
|
jedie
(Themenstarter)
Anmeldungsdatum: 14. Oktober 2005
Beiträge: 516
|
Also wir haben nun nochmal ein paar Tests gemacht... Normales, nicht verschlüßeltes FTP geht, wenn beide hinter einem NAT hängen... Wenn man allerdings mit TLS versucht, geht's wieder nicht. Der Datenkanal funktioniert dabei einfach nicht ☹ Wir haben es auch mal versucht die Passiv-Port-Range einzugrenzen und diese Ports dann auch beim Server und Client zu forwarden. Bringt aber auch nix :evil: Das muß doch irgendwie gehen 😕 Das einzige was nach wie vor geht ist "sFTP über SSH2"... Das dumme dabei ist allerdings, das man nicht proftpd nehmen kann, sondern ja einen echten SSH Zugang einrichten muß. Dabei wird IMHO ein Server von OpenSSL genutzt. Den kann man aber nicht so richtig einstellen, oder? Ich möchte nur gezielt ein paar Verzeichnisse "freigeben" und nicht alles... Was kann ich tun?
|