Zweiter FTP Passiv Mode -> Firewallproblem

Dieses Thema im Forum "Server Administration" wurde erstellt von Quest, 29. Jan. 2010.

  1. Quest

    Quest Member

    Hallo zusammen.

    Ich hab mal wieder ein spezielles Problem.
    Auf meinem ISP3 Server habe ich außer ISP mit den Webseiten ja noch Gamecreate für die Verwaltung von Gameservern laufen.
    Dieses Gamecreate bringt zum Hochladen von Maps, Mods, etc. einen eigenen FTP-Service mit der auf Port 2121 lauscht und nur mit Passive FTP angesprochen werden kann.
    Wenn ich von localhost mit dem FTP-Client mich auf den Server verbinde funktioniert alles wunderbar.
    Wenn ich das mit der selben Client-Software hier von zu Hause aus probiere kommt in dem Augenblick in dem ich ein 'ls' in der Konsole absetze ein Timeout (also entsprechend zeitverzögert halt).

    Könnt ihr mir sagen wie ich der Firewall beibringe, dass ich 2 FTP Daemons habe, die passiv ansprechbar sein sollen?

    Gruß, Michael
     
  2. Till

    Till Administrator

    Du definierts für jeden Daemon eine eigene passive port range und öffnest dann die entsprechenden port ranges in der firewall.
     
  3. Quest

    Quest Member

    Für den FTP Daemon aus dem Perfect Server Setup Debian müsste da doch sicher schon was definiert sein. Wo muss ich denn da an der Firewall anpacken um herauszufinden welche passive FTP Ports bereits offen sind?
     
  4. Till

    Till Administrator

    Ruf auf:

    iptables -L

    oder schau einfach in die Firewall Einstellungen in ISPConfig, eine port Range definierst Du so. z.B: 1200-1300
     
  5. Quest

    Quest Member

    In ISPConfig unter Firewall ist bei mir keine Range eingetragen.
    Der Passive FTP Modus zum normalen Daemon auf Port 21 funktioniert auf jeden Fall.
    Da sich für Gamecreate die Portrange nicht definieren lässt sondern jedes Mal ein zufälliger Port gewählt wird hab ich da nehme ich an schlechte Chancen?

    Im Gamecreate Forum hab ich zu dem Problem mit der Firewall und dem Passive Mode diesen Link gefunden:
    http://archive.cert.uni-stuttgart.de/suse-security/2003/07/msg00321.html

    Hab ich damit evtl. eine chance?
    Wenn ja, wie und wo muss ich diese Kommandos absetzen / Eintragen, damit die Regeln greifen und nach einem Systemstart jeweils noch verfügbar sind?

    Sorry, wenns um Firewalls geht bin ich leider ein absoluter Anfänger.
    Mit dem Thema sollte ich mich vielleicht auch mal mehr beschäftigen...
     
  6. Till

    Till Administrator

  7. F4RR3LL

    F4RR3LL Member

  8. Quest

    Quest Member

    Momentan scheitere ich noch an einem anderen Problem.
    Der FTP Daemon von GameCreate lässt sich für passive FTP nicht auf eine PortRange einschränken. er nimmt zufällig irgendeinen freien Port.

    Ich habe da weiter oben einen Link gepostet, den ich im Gamecreate Forum gefunden hab.
    auf der verlinkten Seite sind diese Regeln aufgeführt:
    Code:
    -A FORWARD -p tcp -s $i --sport 1024:65535 -d $j --dport 21
    	-m state --state NEW,ESTABLISHED -j ACCEPT
    -A FORWARD -p tcp -s $j --sport 21 -d $i --dport 1024:65535
    	 -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -p tcp -s $i --sport 1024:65535 -d $j --dport 1024:65535
    	-m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -p tcp -s $j --sport 1024:65535 -d $i --dport 1024:65535
    	-m state --state RELATED,ESTABLISHED -j ACCEPT[FONT=verdana]
    Lässt sich das etwas abwandeln, damit sowohl der normale FTP auf Port 21 als auch der von Gamecreate auf Port 2121 die volle Portrange für Passive FTP verwenden dürfen?
    [/FONT]
     
  9. Till

    Till Administrator

    @F4RR3LL

    Du kannst die Range für die Firewall seit ISPConfig 3.0.1.6 auch direkt in den Firewall Einstelluneg festlegen ohne dafür manuell in iptables einzugreifen, dazu fügst Du bei den TCP Ports folgendes am Ende hinzu:

    Code:
    ,4000-4020
    @Quest

    hast Du mal versucht die Regeln manuell auf der Shell auszuführen und dann FTP getestet?
     
  10. Quest

    Quest Member

    Nein, hab ich noch nicht. Werd ich am Wochenende mal probieren.
    Bei Linuxforen.de hat mir noch jemand 'nf_conntrack_ftp' als Tipp gegeben, hat damit schon mal jemand was gemacht?
     
  11. Quest

    Quest Member

    Ok, es ging doch ganz einfach.
    Falls es noch jemand interessiert, diesen Befehl ausführen:
    modprobe nf_conntrack_ftp ports=21,2121
    Anschließend Bastille Firewall neu starten.
    Das Kernelmodul übernimmt den Rest.
    Um das ganze für den nächsten Systemstart vorzumerken folgende Zeile in die /etc/modules eintragen:
    nf_conntrack_ftp ports=21,2121

    Ich denke ich werd die nächsten Tage mal ein HowTo zur Installation von Gamecreate auf ISP3 Debians machen.
    Jetzt hab ich alle Details dazu beisammen.
     

Diese Seite empfehlen