FTP forwarden

  • Hallo!

    Ich möchte eine Firewall mit iptables (wobei es nebensächlich ist womit) so konfigurieren, dass sie FTP-Anfragen entgegennimmt und an einen internen (d.h. vom Internet aus nicht sichtbaren) Rechner weiterleitet.

    Bisher hatte ich die TCP-Ports 20 und 21 geforwardet und es hat nicht funktioniert. Nach stundenlangem Suchen habe ich mit Hilfe eines Sniffers festgestellt, dass FTP noch vor dem Einloggen ein Paket mit der Bezeichnung "DNS: Standard Query" auf UDP Port 53 sendet, das die Firewall geblockt hat. Damit wäre der Fehler (zumindest einer, es könnten weitere folgen) gefunden.

    Übrigens: Wenn der FTP-Client mit dem FTP-Server direkt (d.h. ohne Router/Gateway dazwischen) verbunden ist wird keine DNS-Anfrage geschickt. Mir ist trotzdem vollkommen unklar wieso FTP eine DNS-Anfrage schickt (ich gebe "ftp [ip-adresse]" ein). Da ist doch gar kein Domainname der aufgelöst werden müsste :confused:. "ping [ip-adresse]" schickt übrigens keine DNS-Pakete. Klar könnte ich UDP Port 53 auch einfach forwarden, aber ich wüsste schon gerne wieso das überhaupt notwendig ist.

    Weiß jemand wieso?

    PS: Wieso gibt es eigentlich kein eigenes Netzwerk-Forum?

  • Wenn man ein wenig im Google stöbert, kommt man darauf, dass UDP 53 für DNS Anfragen genutzt wird. Frag mich jetzt leider nicht, warum er DNS verwendet. Ich hab nur einen Verdacht, aber irgendwie kann ich diesen nicht 100%ig und stichhaltig erklären.

    LG

  • Verwendest Du beim Verbinden aktives oder passives FTP? Passives FTP wird nämlich, wenn Du nur die Ports 20 und 21 weiterleitest, so nicht funktionieren.

    Aktives FTP wird so (wie sonst auch immer) auch nur funktionieren, wenn die Firewall des Clients es zuläßt, was oft - vor allem, wenn der Client selber in einem LAN ist und über ein NAT-Gateway ins Internet geht - nicht der Fall ist.

    Erklärungen zu aktivem/passivem FTP: http://slacksite.com/other/ftp.html

    Schau mal, ob Du bei Deinem FTP-Server den Bereich für passive Ports einstellen kannst (z. B. auf 50000-50100), dann könntest Du diese Ports auch noch forwarden und passives FTP sollte funktionieren.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!