FTP-Zugriff unmöglich, Port-Weiterleitung gestört?

Joe_the_tulip

Vereinsmitglied
banned by FireGuy

Registered: Mar 2003
Location: Wien
Posts: 16480

15.03.2009 - 18:22

Hab bei einem bekannten ein eigenartiges Problem mit dem Zugriff auf den FTP:
Setup
.)Chello Classic + WRT54G mit DD-WRT mit DDNS-Service
.)Freecom MP350 Multimedia-HDD mit FTP; verbunden über Wlan
.)diverse Rechner über Wlan/LAN

Die Box hat eine stat. IP 192.168.1.222 und der FTP geht nur auf Port 21. Ist man im LAN/WLAN gehen die Zugriffe mit ftp://user:pw@192.168.1.222 problemlos über den Browser. Zugriff geht aber auch mit ftp://user:pw@ddns-service:port

An jedem anderen rechner außerhalb des LANs kommt man nicht auf den ftp - egal ob ich den port direkt von 21 weiterleite, einen anderen Port nehme oder eine DMZ für die Box einrichte. Ich komm aber problemlos auf den Router mit http:/ddns-service

ort - mit egal welchem Port.

Der Fehler ist reproduzierbar.

Hat jemand einen Vorschlag, außer Firmware von Box und Router zu erneuern (was für mich ein mehrstündiges Arbeitsaufwand wäre, den ich eigentlich vermeiden möchte, speziell wenns nachher immer noch nicht geht).

that

Hoffnungsloser Optimist

Registered: Mar 2000
Location: MeidLing
Posts: 11343

15.03.2009 - 18:49

Active oder Passive FTP? Stimmt die Router-Config für den Daten-Port?

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3772

15.03.2009 - 18:53

Der FTP Server hört vielleicht nur im internen Netzbereich (192.168.1.0/24), da müsstest du die Config anpassen.

Joe_the_tulip

Vereinsmitglied
banned by FireGuy

Registered: Mar 2003
Location: Wien
Posts: 16480

15.03.2009 - 19:14

@that:
FTP müsste eigentlich active sein - kann ich aber auf der mediabox nicht konfigurieren.
Wenn ich 20-21 direkt an die IP-Route, wenn ich die mediabox als DMZ einrichte oder wenn ich einen port xyz an 21 weiterleite, geht es nicht.

Am FTP kann ich so gut wie nichts einstellen:
Nur 1 Konto mit root-zugriff auf das haupt-verzeichnis der platte; user und passwort kann ich noch einstellen. maximale verbindungen, andere Konten, Rechtevergabe geht alles nicht.

@Nexus:
ich seh keine dahingehende funktion und das manual sagt auch nichts dergleichen. könnte es also sein, dass die funktion einfach nicht vorgesehen ist?

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12469

15.03.2009 - 19:25

wahrscheinlich ist standardmäßig aktives ftp eingestellt und der router kann das ned bzw ist falsch konfiguriert.

master blue

Mr. Anderson

Registered: Oct 2000
Location: 2340, 2352, 1200
Posts: 8581

15.03.2009 - 19:31

wobei als DMZ müsste aktiv/passiv keinen unterschied machen, weil sowieso alles offen ist oder?

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12146

15.03.2009 - 19:41

Fuer aktives FTP sollten statische Portweiterleitungen fuer 20 und 21 auf den Host des FTP-Servers ausreichen. Auch wenn du fuer Port 21 am externen iface des NAT-Endpoints etwas Anderes einsetzt, duerfte das keine Probleme machen.

Wenn der ftpd nur passive ftp zulaesst, muesstest du auf dem Router einen conntrack-helper fuer FTP laden. Google hat mir leider nicht verraten koennen, ob dd-wrt dieses Modul mitliefert - und ich hab andere Firmware auf meinen Geraeten hier, kann also nicht nachsehen.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12469

15.03.2009 - 19:48

Zitat von COLOSSUS
Fuer aktives FTP sollten statische Portweiterleitungen fuer 20 und 21 auf den Host des FTP-Servers ausreichen. Auch wenn du fuer Port 21 am externen iface des NAT-Endpoints etwas Anderes einsetzt, duerfte das keine Probleme machen.

Wenn der ftpd nur passive ftp zulaesst, muesstest du auf dem Router einen conntrack-helper fuer FTP laden. Google hat mir leider nicht verraten koennen, ob dd-wrt dieses Modul mitliefert - und ich hab andere Firmware auf meinen Geraeten hier, kann also nicht nachsehen.

ist es ned umgekehrt ? das aktives ftp das connection tracking braucht ? ich bin verwirrt.

edit:

Zitat
Um aktives FTP zu erlauben (Der Zielport ist nicht bekannt), müsste eine generelle Regel für alle einkommenden Verbindungen von Port 20 (FTP-Server) auf hohe Port-Nummern (>1023) des Clients anlegt werden. Dies stellt jedoch eine sehr unsichere Lösung dar.

Eine besseren Ansatz besteht in der Verbindungsverfolgung. Dazu muß das Modul ip_conntrack_ftp eingebunden werden. Es durchsucht das PORT Kommando nach der Port-Nummer, mit der sich der Server verbinden wird. Damit kann eine Beziehung zwischen ftp und ftp-data hergestellt werden (RELATED).

http://www.fbn-dummerstorf.de/de/Fo...iptables08.html

edit2:
@joe: das heißst du musst am router - wenn möglich - das connection tracking aktivieren. oder du öffnest alle ports >1023 was ich aber nicht machen würde (Sicherheitsrisiko)

edit3: ok, in der DMZ müsste es aber trotzdem funktionieren. sry für die vielen edits

Bearbeitet von davebastard am 15.03.2009, 20:16

Joe_the_tulip

Vereinsmitglied
banned by FireGuy

Registered: Mar 2003
Location: Wien
Posts: 16480

16.03.2009 - 00:46

all diese punkte erklären nicht, warum der bekannte auch über außen reinkommt, aber ich nicht. und ich hab bisher mit dd-wrt schon die verschiedensten port-freigaben (auch ftp) gemacht und hatte noch nie ein derartiges problem.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12469

16.03.2009 - 08:45

Zitat von Joe_the_tulip
all diese punkte erklären nicht, warum der bekannte auch über außen reinkommt, aber ich nicht. und ich hab bisher mit dd-wrt schon die verschiedensten port-freigaben (auch ftp) gemacht und hatte noch nie ein derartiges problem.

kommt der bekannte wirklich von außen (physikalisch) ? weil du vorher das geschrieben hast:

Zitat
Die Box hat eine stat. IP 192.168.1.222 und der FTP geht nur auf Port 21. Ist man im LAN/WLAN gehen die Zugriffe mit ftp://user:pw@192.168.1.222 problemlos über den Browser. Zugriff geht aber auch mit ftp://user:pw@ddns-service:port

das hört sich für mich an als ob der router erkennt dass das eigentlich intern ist.

edit: ich würd mal googlen ob der fehlern bei anderen usern auch auftritt und ob es vielleicht ein firmwareproblem ist. In der DMZ müsste es auf jedenfall funktionieren.

Bearbeitet von davebastard am 16.03.2009, 19:10

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

16.03.2009 - 09:46

Ist die Defaultroute in der Box richtig gesetzt?

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13504

16.03.2009 - 09:48

Hm, ich dachte hinter einem Router müsste man immer passive verwenden?

that

Hoffnungsloser Optimist

Registered: Mar 2000
Location: MeidLing
Posts: 11343

16.03.2009 - 09:54

Zitat von Spikx
Hm, ich dachte hinter einem Router müsste man immer passive verwenden?

Das gilt für den Client. Beim Server ists umgekehrt, oder man muss halt den Router richtig konfigurieren (wie schon von anderen geschrieben - Connection Tracking usw.).

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13504

16.03.2009 - 10:56

Verzeiht mein laienhaftes Wissen, aber im FileZilla FTP Server gibt's ja die Option den passive mode zu benutzen und dann gibt man dazu noch eine port range an, die ebenfalls auf den FTP Server geforwarded werden muss. kA was connection tracking is

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

16.03.2009 - 11:36

Welche Version von DD-WRT hast du laufen?
Schon ein Update auf die aktuellste (falls nicht vorhanden) versucht?

Eigendlich sollte die stateful inspection der Firewall das nämlich regeln...

Joe_the_tulip Vereinsmitglied banned by FireGuy Registered: Mar 2003 Location: Wien Posts: 16480	15.03.2009 - 18:22 Hab bei einem bekannten ein eigenartiges Problem mit dem Zugriff auf den FTP: Setup .)Chello Classic + WRT54G mit DD-WRT mit DDNS-Service .)Freecom MP350 Multimedia-HDD mit FTP; verbunden über Wlan .)diverse Rechner über Wlan/LAN Die Box hat eine stat. IP 192.168.1.222 und der FTP geht nur auf Port 21. Ist man im LAN/WLAN gehen die Zugriffe mit ftp://user:pw@192.168.1.222 problemlos über den Browser. Zugriff geht aber auch mit ftp://user:pw@ddns-service:port An jedem anderen rechner außerhalb des LANs kommt man nicht auf den ftp - egal ob ich den port direkt von 21 weiterleite, einen anderen Port nehme oder eine DMZ für die Box einrichte. Ich komm aber problemlos auf den Router mit http:/ddns-serviceort - mit egal welchem Port. Der Fehler ist reproduzierbar. Hat jemand einen Vorschlag, außer Firmware von Box und Router zu erneuern (was für mich ein mehrstündiges Arbeitsaufwand wäre, den ich eigentlich vermeiden möchte, speziell wenns nachher immer noch nicht geht).
that Hoffnungsloser Optimist Registered: Mar 2000 Location: MeidLing Posts: 11343	15.03.2009 - 18:49 Active oder Passive FTP? Stimmt die Router-Config für den Daten-Port?
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3772	15.03.2009 - 18:53 Der FTP Server hört vielleicht nur im internen Netzbereich (192.168.1.0/24), da müsstest du die Config anpassen.
Joe_the_tulip Vereinsmitglied banned by FireGuy Registered: Mar 2003 Location: Wien Posts: 16480	15.03.2009 - 19:14 @that: FTP müsste eigentlich active sein - kann ich aber auf der mediabox nicht konfigurieren. Wenn ich 20-21 direkt an die IP-Route, wenn ich die mediabox als DMZ einrichte oder wenn ich einen port xyz an 21 weiterleite, geht es nicht. Am FTP kann ich so gut wie nichts einstellen: Nur 1 Konto mit root-zugriff auf das haupt-verzeichnis der platte; user und passwort kann ich noch einstellen. maximale verbindungen, andere Konten, Rechtevergabe geht alles nicht. @Nexus: ich seh keine dahingehende funktion und das manual sagt auch nichts dergleichen. könnte es also sein, dass die funktion einfach nicht vorgesehen ist?
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12469	15.03.2009 - 19:25 wahrscheinlich ist standardmäßig aktives ftp eingestellt und der router kann das ned bzw ist falsch konfiguriert.
master blue Mr. Anderson Registered: Oct 2000 Location: 2340, 2352, 1200 Posts: 8581	15.03.2009 - 19:31 wobei als DMZ müsste aktiv/passiv keinen unterschied machen, weil sowieso alles offen ist oder?
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12146	15.03.2009 - 19:41 Fuer aktives FTP sollten statische Portweiterleitungen fuer 20 und 21 auf den Host des FTP-Servers ausreichen. Auch wenn du fuer Port 21 am externen iface des NAT-Endpoints etwas Anderes einsetzt, duerfte das keine Probleme machen. Wenn der ftpd nur passive ftp zulaesst, muesstest du auf dem Router einen conntrack-helper fuer FTP laden. Google hat mir leider nicht verraten koennen, ob dd-wrt dieses Modul mitliefert - und ich hab andere Firmware auf meinen Geraeten hier, kann also nicht nachsehen.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12469	15.03.2009 - 19:48 Zitat von COLOSSUS Fuer aktives FTP sollten statische Portweiterleitungen fuer 20 und 21 auf den Host des FTP-Servers ausreichen. Auch wenn du fuer Port 21 am externen iface des NAT-Endpoints etwas Anderes einsetzt, duerfte das keine Probleme machen. Wenn der ftpd nur passive ftp zulaesst, muesstest du auf dem Router einen conntrack-helper fuer FTP laden. Google hat mir leider nicht verraten koennen, ob dd-wrt dieses Modul mitliefert - und ich hab andere Firmware auf meinen Geraeten hier, kann also nicht nachsehen. ist es ned umgekehrt ? das aktives ftp das connection tracking braucht ? ich bin verwirrt. edit: Zitat Um aktives FTP zu erlauben (Der Zielport ist nicht bekannt), müsste eine generelle Regel für alle einkommenden Verbindungen von Port 20 (FTP-Server) auf hohe Port-Nummern (>1023) des Clients anlegt werden. Dies stellt jedoch eine sehr unsichere Lösung dar. Eine besseren Ansatz besteht in der Verbindungsverfolgung. Dazu muß das Modul ip_conntrack_ftp eingebunden werden. Es durchsucht das PORT Kommando nach der Port-Nummer, mit der sich der Server verbinden wird. Damit kann eine Beziehung zwischen ftp und ftp-data hergestellt werden (RELATED). http://www.fbn-dummerstorf.de/de/Fo...iptables08.html edit2: @joe: das heißst du musst am router - wenn möglich - das connection tracking aktivieren. oder du öffnest alle ports >1023 was ich aber nicht machen würde (Sicherheitsrisiko) edit3: ok, in der DMZ müsste es aber trotzdem funktionieren. sry für die vielen edits Bearbeitet von davebastard am 15.03.2009, 20:16
Joe_the_tulip Vereinsmitglied banned by FireGuy Registered: Mar 2003 Location: Wien Posts: 16480	16.03.2009 - 00:46 all diese punkte erklären nicht, warum der bekannte auch über außen reinkommt, aber ich nicht. und ich hab bisher mit dd-wrt schon die verschiedensten port-freigaben (auch ftp) gemacht und hatte noch nie ein derartiges problem.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12469	16.03.2009 - 08:45 Zitat von Joe_the_tulip all diese punkte erklären nicht, warum der bekannte auch über außen reinkommt, aber ich nicht. und ich hab bisher mit dd-wrt schon die verschiedensten port-freigaben (auch ftp) gemacht und hatte noch nie ein derartiges problem. kommt der bekannte wirklich von außen (physikalisch) ? weil du vorher das geschrieben hast: Zitat Die Box hat eine stat. IP 192.168.1.222 und der FTP geht nur auf Port 21. Ist man im LAN/WLAN gehen die Zugriffe mit ftp://user:pw@192.168.1.222 problemlos über den Browser. Zugriff geht aber auch mit ftp://user:pw@ddns-service:port das hört sich für mich an als ob der router erkennt dass das eigentlich intern ist. edit: ich würd mal googlen ob der fehlern bei anderen usern auch auftritt und ob es vielleicht ein firmwareproblem ist. In der DMZ müsste es auf jedenfall funktionieren. Bearbeitet von davebastard am 16.03.2009, 19:10
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	16.03.2009 - 09:46 Ist die Defaultroute in der Box richtig gesetzt?
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13504	16.03.2009 - 09:48 Hm, ich dachte hinter einem Router müsste man immer passive verwenden?
that Hoffnungsloser Optimist Registered: Mar 2000 Location: MeidLing Posts: 11343	16.03.2009 - 09:54 Zitat von Spikx Hm, ich dachte hinter einem Router müsste man immer passive verwenden? Das gilt für den Client. Beim Server ists umgekehrt, oder man muss halt den Router richtig konfigurieren (wie schon von anderen geschrieben - Connection Tracking usw.).
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13504	16.03.2009 - 10:56 Verzeiht mein laienhaftes Wissen, aber im FileZilla FTP Server gibt's ja die Option den passive mode zu benutzen und dann gibt man dazu noch eine port range an, die ebenfalls auf den FTP Server geforwarded werden muss. kA was connection tracking is
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	16.03.2009 - 11:36 Welche Version von DD-WRT hast du laufen? Schon ein Update auf die aktuellste (falls nicht vorhanden) versucht? Eigendlich sollte die stateful inspection der Firewall das nämlich regeln...

FTP-Zugriff unmöglich, Port-Weiterleitung gestört?

Forum Index > Digital Life > Internet & Provider

Joe_the_tulip

that

nexus_VI

Joe_the_tulip

davebastard

master blue

COLOSSUS

davebastard

Joe_the_tulip

davebastard

Crash Override

Spikx

that

Spikx

EG