LINUX-Firewall und FTP unter Windows

Hallo,

wir betreiben eine T-DSL-LINUX-Firewall (SuSE 7.2), über die ein Windows-Netzwerk ins Internet gelangt. Webseiten-Betrachtung und File-Download ist möglich, lediglich die Aktualisierung der eigenen Internet-Seite klappt nicht, da WS-FTP nicht durch die Firewall kommt. Welche Ports müssen Firewall-Seitig freigegeben werden und wie ist WS-FTP zu konfigurieren, damit das klappt?

Vielen Dank im voraus

M. Utermann

Stichwort passives FTP.

Wenn das nicht klappen sollte sag bescheid-

Webseiten-Betrachtung und File-Download ist möglich, lediglich
die Aktualisierung der eigenen Internet-Seite klappt nicht, da

Internet-Seite ? Was ist das ? Du meinst bestimmt Webseiten.
Höhrt sich vielleicht besserwisserisch an. Aber ich bin der Meinung das das WEB nicht das einzige im Internet ist und dieses Wort Internet-seite sagt halt aus … Internet = Web.

cu

polarbear

OK, Web-Seite.

Sorry, nein, passiv geht auch nicht. Was nun?

Marcus U.

*************

Internet-Seite ? Was ist das ? Du meinst bestimmt Webseiten.
Höhrt sich vielleicht besserwisserisch an. Aber ich bin der
Meinung das das WEB nicht das einzige im Internet ist und
dieses Wort Internet-seite sagt halt aus … Internet = Web.

cu

polarbear

Sorry, nein, passiv geht auch nicht. Was nun?

also FTP funktioniert wie folgt. (nur die wichtigsten Punkte)

(aktives Ftp)

  1. client öffnet eine Verbindung zum (control-channel) Server Port 21 auf.
  2. client teilt dem Server mit das er eine Datei haben möchte
  3. Server teilt dem client mit auf welchen Ports er die Datenverbindung aufbauen möchte.
  4. Client öffnet den Socket und der Server überträg die Daten.

(passives Ftp)

  1. siehe oben
  2. siehe oben
  3. client baut eine Verbindung zum Server Port 20 auf und der überträg dann die Daten.

Serverseitig kommen die Ports 20 und 21 ins spiel.
Clientseitig werden die Ports >1023 verwendt.

Jetzt sollte dir klar sein wie man die Firewall configurien sollt.
Falls nicht…
Was benutz du iptables oder ipchains ?
Poste dein Regel. (Bitte mit hilfe der tools ipchains oder iptabel und nicht die regeln in der rc.config)

bis denne danne

polarbear

Hallo,

das ist schwierig, weil für mich selber Linux ein völlig böhmisches Dorf ist und zweitens die Firewall so „runterkonfiguriert“ wurde, dass alle Tools inkl. ipchains und iptables einfach nicht da sind (nicht mal ein vernünftiger Editor ist installiert, damit auch ja keiner was dran machen kann). In der enstprechenden Datei sind folgende Ports freigegeben: 20, 21, 22, 25, 53, 80, 110, 143, 443, 866, 989, 1080, 3000 und 8080. Kann man damit was anfangen?

Gruß

Marcus

RE,

das ist schwierig, weil für mich selber Linux ein völlig
böhmisches Dorf ist und zweitens die Firewall so

BTW
OT=Woherkommt diese Spruch eigentlich? Werde das mal in dem richtigen Brett posten:smile:

„runterkonfiguriert“ wurde, dass alle Tools inkl. ipchains und
iptables einfach nicht da sind (nicht mal ein vernünftiger

Ohne iptables bzw. ipchains wird auch das Script von der SuSE auf die Nase fallen. Es muß ja schließlich die Regeln einpflegen und dafür benutz es eines der Tools. Aber ich habe keine Ahnung welches.

schau mal unter /usr/sbin nach ob die tools dort vorhanden sind.

Dann lese dir die manpages durch (man iptables / man ipchains) wie man die ausgaben der einzelnen chains hinbekommt.

Bsp.
iptables -nvL
iptables -t nat -nvL

Editor ist installiert, damit auch ja keiner was dran machen
kann). In der enstprechenden Datei sind folgende Ports

Um so weniger Programme auf einer Firewall um so besser. Aber ob das weglassen eines einfachen editors wirklich ein „mehr“ an Sicherheit bring mag ich zu bezweifeln.

freigegeben: 20, 21, 22, 25, 53, 80, 110, 143, 443, 866, 989,
1080, 3000 und 8080. Kann man damit was anfangen?

Nicht wirklich. Da ich ja nicht weiß welche regeln tatsächlich im System eingepflegt sind.

cu

polaroid

20, 21, 22, 25, 53, 80, 110, 143, 443, 866, 989, 1080, 3000 und 8080 -> die Eintragung DIESER Ports in der entsprechenden Datei ist lt. Aussage unseres Lieferanten ausreichend, um sie freizuschalten. Alles andere sagt mir leider sehr wenig, da ich von Linux keine große Ahnung habe …

Hi Marcus,

20, 21, 22, 25, 53, 80, 110, 143, 443, 866, 989, 1080, 3000
und 8080 -> die Eintragung DIESER Ports in der
entsprechenden Datei ist lt. Aussage unseres Lieferanten
ausreichend, um sie freizuschalten. Alles andere sagt mir
leider sehr wenig, da ich von Linux keine große Ahnung habe

Das mag sein. Aber SuSE tut nichts anderes als diese Werte auszulesen und einzupflegen. Was jetzt interessant ist. Wie SuSE diese Werte eingepflegt hat.

Mach doch mal ein

ipchains -nvL input
ipchains -nvL forward
ipchains -nvL output

und poste die Aussgaben. Sollte das nicht funktionieren dannn versuche denn Befehl aus meinem letzen Posting.
BTW du muß das ganze als root ausführen.

Ohne die Ausgabe kann und möchte ich dir nicht weiter helfen.

cu

polarbear