ubuntuusers.de

FTP Server hinter NAT-Router...

Status: Ungelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |

jedie

Anmeldungsdatum:
14. Oktober 2005

Beiträge: 516

Es scheind ja nicht so einfach zu sein einen FTP-Server (mit TLS) hinter einem NAT-Router zum laufen zu bringen. Ist es richtig das es nur mit einem FTP-Proxy funktioniert???

Weiß jemand wo man eine Anleitung herbekommt, wie man das einrichten kann? Mit proftpd kenne ich mich grob aus. TLS hab ich auch eingerichtet und lokal klappt alles wunderbar. Nur über's Internet (Server und Client sind hinter einem NAT-Router) geht es nicht ☹

jedie

(Themenstarter)

Anmeldungsdatum:
14. Oktober 2005

Beiträge: 516

Kann mir da niemand weiter helfen???

irgendwer

Anmeldungsdatum:
3. November 2004

Beiträge: 158

Hast du die Port Weiterleitung aktiviert, oder wo liegt genau das Problem?

mfg

Andy

jedie

(Themenstarter)

Anmeldungsdatum:
14. Oktober 2005

Beiträge: 516

Eigentlich schon... Port 21,22 und für TLS 989, 990... Aber das reicht anscheinend nicht. Es liegt wohl irgendwie daran, das FTP für den Datenverkehr zusätzliche Ports wählt...

Kann es sein, das es nicht geht, wenn Server und Client hinter einem NAT-Router hängen???

Ich habe auch noch andere FTP-Server mit denen ich mich als Client ohne Probleme verbinden kann, diese sitzten direkt am Netz (WebSpace Provider)...

slazZ

Anmeldungsdatum:
29. Oktober 2005

Beiträge: 165

FTP ist immer so eine Sache hinter einem NAT-Router.
Liegt daran, dass das FTP Protokoll nicht so ohne weiteres mit Routern harmonisiert.

Erstelle mal ein Portforwarding auf dem Router der Ports 20 und 21.
Als Ziel IP gibts du die von dem Rechner ein wo der FTP-Server läuft.
Solange kein FXP hinzukommt sollte das reichen.

greetz

mario

Anmeldungsdatum:
18. März 2005

Beiträge: 169

Wohnort: Darmstadt

Nein, das reicht nicht, vor allem nicht wenn beide (Server und Client) hinter einem Router sitzen.
Beim aktiven FTP scheitert es am NAT des Servers, beim passiven am NAT des Clients. Erklärung

Du wirst um etwas wie einen FTP Proxy nicht rumkommen, wenn beide hinter einem NAT Router sitzen.
Allerdings hab ich selbst noch nie einen aufgesetzt, die Suchmaschine deiner Wahl wird hier aber bestimmt fündig.

mario

jedie

(Themenstarter)

Anmeldungsdatum:
14. Oktober 2005

Beiträge: 516

Das ist ja sehr ärgerlich!
Ein ftp-proxy muß aber dann wohl zwischen den beiden sitzten und halt nicht hinter einem NAT oder kann der auf dem Rechner drauf auf dem der FTP-Server selber ist???

btw. Dein Link zur Erklärung informiert allerdings nur über den Unterschied zwischen passiv und aktivem FTP, nicht aber die Problematik in Zusammenhang mit NAT-Router ☹

mario

Anmeldungsdatum:
18. März 2005

Beiträge: 169

Wohnort: Darmstadt

jedie hat geschrieben:

btw. Dein Link zur Erklärung informiert allerdings nur über den Unterschied zwischen passiv und aktivem FTP, nicht aber die Problematik in Zusammenhang mit NAT-Router ☹

Doch der Link erklärt genau die Problematik die sich mit NAT Routern ergibt. Denn ein NAT Router weist von außen initialisierte Verbindungen ab, und genau dies passiert bei FTP.
Beim aktiven initialisert der Server eine Verbindung zum Client, die der NAT Router abweist, da der Verbindungsaufbau nicht durch einen Rechner im LAN geschehen ist.
Beim passivem initialisiert der Client eine Verbindung zum Server, welche der NAT Router vor dem Server aus demselben Grund abweist wie oben.

mario

jedie

(Themenstarter)

Anmeldungsdatum:
14. Oktober 2005

Beiträge: 516

Na, das ist doch mal eine Erklärung, die einleuchtet:
mario hat geschrieben:

Denn ein NAT Router weist von außen initialisierte Verbindungen ab, und genau dies passiert bei FTP.
Beim aktiven initialisert der Server eine Verbindung zum Client, die der NAT Router abweist, da der Verbindungsaufbau nicht durch einen Rechner im LAN geschehen ist.
Beim passivem initialisiert der Client eine Verbindung zum Server, welche der NAT Router vor dem Server aus demselben Grund abweist wie oben.

Aber wie ist das mit einem ftp-proxy? Darf der hinter einem NAT liegen?

mario

Anmeldungsdatum:
18. März 2005

Beiträge: 169

Wohnort: Darmstadt

jedie hat geschrieben:

Aber wie ist das mit einem ftp-proxy? Darf der hinter einem NAT liegen?

Ich denke mal ja, da sich afaik dann der Proxy um den Datenstrom (welcher in deinem Fall relevant ist) kümmert, kann es aber auch nicht hundertprozentig bestätigen, da ich selbst noch keinen ftp-proxy aufgesetzt habe. Aber sieh doch mal auf ftpproxy.org nach.

Es gibt auch ein ftp-proxy Paket bei ubuntu im Repository universe

mobile:~$ aptitude show ftp-proxy
Paket: ftp-proxy
Neu: ja
Zustand: nicht installiert
Version: 1.9.2.4-1
Priorität: optional
Bereich: universe/net
Verwalter: Roberto Lumbreras <rover@debian.org>
Unkomprimierte Größe: 365k
Hängt ab von: libc6 (>= 2.3.4-1), libwrap0
Beschreibung: application level proxy for the FTP protocol
 FTP-Proxy is a transparent, application-level proxy server for FTP connections, designed to protect FTP servers
 against attacks based on the FTP protocol. It is the first (and currently only) component of the SuSE Proxy Suite, a
 set of programs to enhance firewall security.

 FTP-Proxy is much less complex than any current FTP server, has been designed with great care and performs chroot(),
 setuid(), setgid() to avoid possible vulnerabilities, and is believed to be immune against current known attacks.

 Further information can be obtained from <URL: http://proxy-suite.suse.de>

 FTP-Proxy features include:
 o Securely relays FTP connections between clients and servers
 o Can switch connections from active to passive and vice versa
 o Utilizes port ranges for both control and data connections
 o Provides extensive auditing (via syslog or rotating log files)
 o Can separate user related from system triggered audit events
 o Provides command restriction based on logged in user name
 o Allows command argument checking with regular expressions
 o Is able to retrieve configuration data from an LDAP directory
 o Has been thoroughly tested against buffer overflow attacks
 o Fully conforms to RFC 959 and 1123 (the basic FTP RFCs)
 o Planned to support RFC 1579 ("Firewall Friendly FTP")
 o Planned to support RFC 2428 (IPv6 Extensions for FTP)
 o Based on GNU AutoConf, supposed to run on many UNIX systems

mario

jedie

(Themenstarter)

Anmeldungsdatum:
14. Oktober 2005

Beiträge: 516

mario hat geschrieben:

jedie hat geschrieben:

Aber wie ist das mit einem ftp-proxy? Darf der hinter einem NAT liegen?

Aber sieh doch mal auf ftpproxy.org nach.

Da finde ich keine relevanten Informationen zum Thema NAT...
Ich kann mir allerdings nicht vorstellen, das es funktionieren würde... Ich meine was ändert das daran, das beide Seiten hinter einem NAT "versteckt" sind???

mario hat geschrieben:

Es gibt auch ein ftp-proxy Paket bei ubuntu im Repository universe

Denn hatte ich mir mal angeschaut... Aber ich wurde nicht so richtig schlau draus ☹

haraldkl

Avatar von haraldkl

Anmeldungsdatum:
21. Juli 2005

Beiträge: 1903

Wohnort: Würselen

Hi,
ich denke der Proxy muss auf der NAT-Maschine laufen. Vielleicht hilft dir auch die Info von OpenBSD dazu weiter: http://www.openbsd.org/faq/pf/ftp.html 😉

Gizzmo

Avatar von Gizzmo

Anmeldungsdatum:
30. November 2005

Beiträge: 360

Wohnort: München

Also wenn du einen aktiven FTP Server hat, brauchst du kein ftpproxy.
Hab selber mal daheim einen aktiven FTP Server am laufen gehabt und da konnte jeder drauf, egal ob mit oder ohne NAT.
Bei nem passiven FTP hast du ein Problem, da geht es so nicht ☺

jedie

(Themenstarter)

Anmeldungsdatum:
14. Oktober 2005

Beiträge: 516

Also so wie ich das jetzt verstanden hab, kommt es erst dann zum Problem, wenn Client und Server hinter einem NAT hängen. Dann soll es auch egal sein, ob man aktiv oder passiv arbeitet.
Ist das auch in deinem Falle so gewesen???

Zur Info: Beim Testen hatte ich proftpd genommen...

jedie

(Themenstarter)

Anmeldungsdatum:
14. Oktober 2005

Beiträge: 516

Also wir haben nun nochmal ein paar Tests gemacht... Normales, nicht verschlüßeltes FTP geht, wenn beide hinter einem NAT hängen... Wenn man allerdings mit TLS versucht, geht's wieder nicht. Der Datenkanal funktioniert dabei einfach nicht ☹
Wir haben es auch mal versucht die Passiv-Port-Range einzugrenzen und diese Ports dann auch beim Server und Client zu forwarden. Bringt aber auch nix :evil:

Das muß doch irgendwie gehen 😕

Das einzige was nach wie vor geht ist "sFTP über SSH2"... Das dumme dabei ist allerdings, das man nicht proftpd nehmen kann, sondern ja einen echten SSH Zugang einrichten muß. Dabei wird IMHO ein Server von OpenSSL genutzt. Den kann man aber nicht so richtig einstellen, oder? Ich möchte nur gezielt ein paar Verzeichnisse "freigeben" und nicht alles...

Was kann ich tun?

Antworten |