Willkommen, Gast!

Wenn dies Ihr erster Besuch in unserem Forum ist, sollten Sie sich zuerst unsere Forum-Netiquette durchlesen. Bevor Sie nun Beiträge schreiben, empfehlen wir Ihnen eine kostenlose Registrierung, da Sie durch Ihren eigenen Account deutlich mehr Features und Komfort im Forum genießen können. Wenn Sie ein bestimmtes Thema suchen, können Sie unsere Suchfunktion benutzen. Falls Sie sich bereits angemeldet haben, können Sie Ihren Account (im Menü links unter Mein Profil aufrufbar) verwalten.


Neue Beiträge, der letzten 24 Stunden
.


Es ist jetzt 21:14 Uhr.

Hardware-Mag - Forum » Software » Sonstiges » FTP-Ports?
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
FTP-Ports?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Mjolnir Mjolnir ist männlich
High-End-User


images/avatars/avatar-485.png

Dabei seit: 24.12.2005
Beiträge: 612

FTP-Ports? Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

Hallo Leute,
bezüglich der Einrichtung von iptables bin ich zur Zeit an der Einrichtung eines FTP-Servers. Hierzu die Frage: welche Ports außer 21 und 20 nutzt eine normale FTP-Verbindung? (Vmtl. passives FTP) Eigentlich sollten die beiden reichen, oder?
Mein Problem: mit den folgenden Firewallregeln kriege ich keine Verbindung, wenn die Firewall aktiv ist...

Zitat:

#Durchgangsregeln
#Steuerverbindungen-Kette
$FW -A control_connections -j LOG -m limit --limit 6/minute
$FW -A control_connections -j ACCEPT
#Normale Verbindungen-Kette
$FW -A normal_connections -j ACCEPT
#einkommende Pakete sortieren
$FW -A INPUT -p tcp --dport 16000 -i eth0 -m state --state ESTABLISHED,RELATED,NEW -j control_connections
$FW -A INPUT -p tcp --dport 21 -i eth0 -m state --state ESTABLISHED,RELATED,NEW -j normal_connections
$FW -A INPUT -p tcp --dport 20 -i eth0 -m state --state ESTABLISHED,RELATED -j normal_connections




__________________
Gigabyte GA-X58A-OC, Intel i7-980X, 12GB DDR3-RAM 2000Mhz, 2x Geforce GTX480, 1x Geforce 8800GTS, X-Fi Platinum, 3x OCZ-SSD 120GB (Raid0), watercooled

"Die Welt ist klein, gemein und gnadenlos, und jeder stirbt einsam..."

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Mjolnir: 28.03.2009 22:39.

28.03.2009 22:38 E-Mail an Mjolnir senden Homepage von Mjolnir Beiträge von Mjolnir suchen Fügen Sie Mjolnir in Ihre Kontaktliste ein
BigWhoop BigWhoop ist männlich
Redakteur


images/avatars/avatar-278.gif

Dabei seit: 02.03.2007
Beiträge: 7.168
Herkunft: Bielefeld

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

also so sollte das in etwa aussehen:

iptables -A INPUT -p tcp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT
iptables -A INPUT -p ALL -i eth0 -m state --state \ ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport ftp -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport ftp-data -j ACCEPT

zumindest für aktiv Augenzwinkern



__________________
2.00000000 + 2.000000000 = 3.999998456


28.03.2009 23:21 E-Mail an BigWhoop senden Homepage von BigWhoop Beiträge von BigWhoop suchen Fügen Sie BigWhoop in Ihre Kontaktliste ein
Mjolnir Mjolnir ist männlich
High-End-User


images/avatars/avatar-485.png

Dabei seit: 24.12.2005
Beiträge: 612

Themenstarter Thema begonnen von Mjolnir
Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

Mhm, ich habe deine Lösung etwas umgewandelt und jetzt folgendes:
Zitat:

#Alle ausgehenden Pakete erlauben
$FW -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j normal_connections
#einkommende Pakete sortieren
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j normal_connections
$FW -A INPUT -p tcp --dport 16000 -i eth0 -m state --state NEW -j control_connections
$FW -A INPUT -p tcp --dport 21 -i eth0 -m state --state NEW -j normal_connections

Damit geht es. Seltsam. Weißt du, warum ich alle ausgehenden Verbindungen und bestehende eingehende Verbindungen ganz erlauben muss, statt speziell pro Port?



__________________
Gigabyte GA-X58A-OC, Intel i7-980X, 12GB DDR3-RAM 2000Mhz, 2x Geforce GTX480, 1x Geforce 8800GTS, X-Fi Platinum, 3x OCZ-SSD 120GB (Raid0), watercooled

"Die Welt ist klein, gemein und gnadenlos, und jeder stirbt einsam..."
28.03.2009 23:43 E-Mail an Mjolnir senden Homepage von Mjolnir Beiträge von Mjolnir suchen Fügen Sie Mjolnir in Ihre Kontaktliste ein
BigWhoop BigWhoop ist männlich
Redakteur


images/avatars/avatar-278.gif

Dabei seit: 02.03.2007
Beiträge: 7.168
Herkunft: Bielefeld

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

imho öffnet passives ftp beim ausgang irgendeinen port der gerade so frei ist im oberen bereich und sendet dann darueber.



__________________
2.00000000 + 2.000000000 = 3.999998456


29.03.2009 09:00 E-Mail an BigWhoop senden Homepage von BigWhoop Beiträge von BigWhoop suchen Fügen Sie BigWhoop in Ihre Kontaktliste ein
Warhead Warhead ist männlich
Moderator


images/avatars/avatar-150.jpg

Dabei seit: 24.12.2005
Beiträge: 2.946
Herkunft: tiefstes Sachsen

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

den passiven port sollte man doch aber explizit angeben können und dann benötigt man doch nur die öffnung des portes oder seh ich das falsch?



__________________

29.03.2009 10:06 E-Mail an Warhead senden Homepage von Warhead Beiträge von Warhead suchen
BigWhoop BigWhoop ist männlich
Redakteur


images/avatars/avatar-278.gif

Dabei seit: 02.03.2007
Beiträge: 7.168
Herkunft: Bielefeld

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

also beim passiven hat jeder nutzer nen neuen port..oder zumindest fast.



__________________
2.00000000 + 2.000000000 = 3.999998456


29.03.2009 10:17 E-Mail an BigWhoop senden Homepage von BigWhoop Beiträge von BigWhoop suchen Fügen Sie BigWhoop in Ihre Kontaktliste ein
ventu
Hardware-Gott


images/avatars/avatar-472.png

Dabei seit: 24.12.2005
Beiträge: 3.096
Herkunft: Rheinland-Pfalz

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden

Zitat:
Original von BigWhoop
imho öffnet passives ftp beim ausgang irgendeinen port der gerade so frei ist im oberen bereich und sendet dann darueber.


fast ... der client öffnet zwei zufällige ports, einmal n>1023 zum initiieren der Verbindung und dann n+1 ... übertragen wird jedoch nur über den n+1 port.

also:
initiierung : client >1023 -> server 21
daten : client >1023 -> server >1023

d.h du musst alle Verbindungen von außen zu ports > 1023 erlauben.

zum Vergleich aktiv:

initiierung : client >1023 -> server 21
daten : client >1023 <- server 20



__________________
[Laptop] Thinkpad X300 | Ubuntu 11.04 Natty
[Server] VMware ESXi 5.0 | Supermicro X8SIL-F | Intel Xeon X3440 | 16GB Mushkin Proline PC3-10667E ECC | 2x3TB Seagate Constellation ES.2 SAS @ zfs_mirror | LSI SAS 9211-4i
29.03.2009 17:32 E-Mail an ventu senden Beiträge von ventu suchen
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Hardware-Mag - Forum » Software » Sonstiges » FTP-Ports?



Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH