FTP-Zugriff unmöglich, Port-Weiterleitung gestört?
URL: https://www.overclockers.at/internet-provider/ftp-zugriff_unmoeglich_port-weiterleitung_gestoert_205775/page_1 - zur Vollversion wechseln!
Joe_the_tulip schrieb am 15.03.2009 um 18:22
Hab bei einem bekannten ein eigenartiges Problem mit dem Zugriff auf den FTP:
Setup
.)Chello Classic + WRT54G mit DD-WRT mit DDNS-Service
.)Freecom MP350 Multimedia-HDD mit FTP; verbunden über Wlan
.)diverse Rechner über Wlan/LAN
Die Box hat eine stat. IP 192.168.1.222 und der FTP geht nur auf Port 21. Ist man im LAN/WLAN gehen die Zugriffe mit ftp://user:pw@192.168.1.222 problemlos über den Browser. Zugriff geht aber auch mit ftp://user:pw@ddns-service:port
An jedem anderen rechner außerhalb des LANs kommt man nicht auf den ftp - egal ob ich den port direkt von 21 weiterleite, einen anderen Port nehme oder eine DMZ für die Box einrichte. Ich komm aber problemlos auf den Router mit http:/ddns-service
ort - mit egal welchem Port.
Der Fehler ist reproduzierbar.
Hat jemand einen Vorschlag, außer Firmware von Box und Router zu erneuern (was für mich ein mehrstündiges Arbeitsaufwand wäre, den ich eigentlich vermeiden möchte, speziell wenns nachher immer noch nicht geht).
that schrieb am 15.03.2009 um 18:49
Active oder Passive FTP? Stimmt die Router-Config für den Daten-Port?
nexus_VI schrieb am 15.03.2009 um 18:53
Der FTP Server hört vielleicht nur im internen Netzbereich (192.168.1.0/24), da müsstest du die Config anpassen.
Joe_the_tulip schrieb am 15.03.2009 um 19:14
@that:
FTP müsste eigentlich active sein - kann ich aber auf der mediabox nicht konfigurieren.
Wenn ich 20-21 direkt an die IP-Route, wenn ich die mediabox als DMZ einrichte oder wenn ich einen port xyz an 21 weiterleite, geht es nicht.
Am FTP kann ich so gut wie nichts einstellen:
Nur 1 Konto mit root-zugriff auf das haupt-verzeichnis der platte; user und passwort kann ich noch einstellen. maximale verbindungen, andere Konten, Rechtevergabe geht alles nicht.
@Nexus:
ich seh keine dahingehende funktion und das manual sagt auch nichts dergleichen. könnte es also sein, dass die funktion einfach nicht vorgesehen ist?
davebastard schrieb am 15.03.2009 um 19:25
wahrscheinlich ist standardmäßig aktives ftp eingestellt und der router kann das ned bzw ist falsch konfiguriert.
master blue schrieb am 15.03.2009 um 19:31
wobei als DMZ müsste aktiv/passiv keinen unterschied machen, weil sowieso alles offen ist oder?
COLOSSUS schrieb am 15.03.2009 um 19:41
Fuer aktives FTP sollten statische Portweiterleitungen fuer 20 und 21 auf den Host des FTP-Servers ausreichen. Auch wenn du fuer Port 21 am externen iface des NAT-Endpoints etwas Anderes einsetzt, duerfte das keine Probleme machen.
Wenn der ftpd nur passive ftp zulaesst, muesstest du auf dem Router einen conntrack-helper fuer FTP laden. Google hat mir leider nicht verraten koennen, ob dd-wrt dieses Modul mitliefert - und ich hab andere Firmware auf meinen Geraeten hier, kann also nicht nachsehen.
davebastard schrieb am 15.03.2009 um 19:48
Fuer aktives FTP sollten statische Portweiterleitungen fuer 20 und 21 auf den Host des FTP-Servers ausreichen. Auch wenn du fuer Port 21 am externen iface des NAT-Endpoints etwas Anderes einsetzt, duerfte das keine Probleme machen.
Wenn der ftpd nur passive ftp zulaesst, muesstest du auf dem Router einen conntrack-helper fuer FTP laden. Google hat mir leider nicht verraten koennen, ob dd-wrt dieses Modul mitliefert - und ich hab andere Firmware auf meinen Geraeten hier, kann also nicht nachsehen.
ist es ned umgekehrt ? das aktives ftp das connection tracking braucht ? ich bin verwirrt.
edit:
Um aktives FTP zu erlauben (Der Zielport ist nicht bekannt), müsste eine generelle Regel für alle einkommenden Verbindungen von Port 20 (FTP-Server) auf hohe Port-Nummern (>1023) des Clients anlegt werden. Dies stellt jedoch eine sehr unsichere Lösung dar.
Eine besseren Ansatz besteht in der Verbindungsverfolgung. Dazu muß das Modul ip_conntrack_ftp eingebunden werden. Es durchsucht das PORT Kommando nach der Port-Nummer, mit der sich der Server verbinden wird. Damit kann eine Beziehung zwischen ftp und ftp-data hergestellt werden (RELATED).
http://www.fbn-dummerstorf.de/de/Fo...iptables08.html
edit2:
@joe: das heißst du musst am router - wenn möglich - das connection tracking aktivieren. oder du öffnest alle ports >1023 was ich aber nicht machen würde (Sicherheitsrisiko)
edit3: ok, in der DMZ müsste es aber trotzdem funktionieren. sry für die vielen edits
Joe_the_tulip schrieb am 16.03.2009 um 00:46
all diese punkte erklären nicht, warum der bekannte auch über außen reinkommt, aber ich nicht. und ich hab bisher mit dd-wrt schon die verschiedensten port-freigaben (auch ftp) gemacht und hatte noch nie ein derartiges problem.
davebastard schrieb am 16.03.2009 um 08:45
all diese punkte erklären nicht, warum der bekannte auch über außen reinkommt, aber ich nicht. und ich hab bisher mit dd-wrt schon die verschiedensten port-freigaben (auch ftp) gemacht und hatte noch nie ein derartiges problem.
kommt der bekannte wirklich von außen (physikalisch) ? weil du vorher das geschrieben hast:
Die Box hat eine stat. IP 192.168.1.222 und der FTP geht nur auf Port 21. Ist man im LAN/WLAN gehen die Zugriffe mit ftp://user:pw@192.168.1.222 problemlos über den Browser. Zugriff geht aber auch mit ftp://user:pw@ddns-service:port
das hört sich für mich an als ob der router erkennt dass das eigentlich intern ist.
edit: ich würd mal googlen ob der fehlern bei anderen usern auch auftritt und ob es vielleicht ein firmwareproblem ist. In der DMZ müsste es auf jedenfall funktionieren.
Crash Override schrieb am 16.03.2009 um 09:46
Ist die Defaultroute in der Box richtig gesetzt?
Spikx schrieb am 16.03.2009 um 09:48
Hm, ich dachte hinter einem Router müsste man immer passive verwenden?
that schrieb am 16.03.2009 um 09:54
Hm, ich dachte hinter einem Router müsste man immer passive verwenden?
Das gilt für den Client. Beim Server ists umgekehrt, oder man muss halt den Router richtig konfigurieren (wie schon von anderen geschrieben - Connection Tracking usw.).
Spikx schrieb am 16.03.2009 um 10:56
Verzeiht mein laienhaftes Wissen, aber im FileZilla FTP Server gibt's ja die Option den passive mode zu benutzen und dann gibt man dazu noch eine port range an, die ebenfalls auf den FTP Server geforwarded werden muss. kA was connection tracking is 
EG schrieb am 16.03.2009 um 11:36
Welche Version von DD-WRT hast du laufen?
Schon ein Update auf die aktuellste (falls nicht vorhanden) versucht?
Eigendlich sollte die stateful inspection der Firewall das nämlich regeln...
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025