FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables

Mag. Leonhard Landrock Sun, 30 Oct 2005 13:27:44 -0800

Hallo zusammen!

Der aktuelle Zustand:
==============


Rechner "firewall" betreibt einfache Paketfilterung. Der Befehl "iptables -t 
filter --list" liefert auf dem Rechner "firewall" folgenden Output:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  funnet/24            anywhere            multiport dports 
ssh
REJECT     all  --  funnet/24            anywhere            reject-with 
icmp-net-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  192.169.0.2          anywhere            reject-with 
icmp-net-prohibited
ACCEPT     tcp  --  funnet/24            anywhere            multiport dports 
ftp-data,ftp,ssh,smtp,domain,www,pop3,https
ACCEPT     udp  --  funnet/24            anywhere            multiport dports 
ssh,25,domain,www,pop3,https
ACCEPT     icmp --  funnet/24            anywhere
REJECT     all  --  funnet/24            anywhere            reject-with 
icmp-net-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             funnet/24
ACCEPT     udp  --  anywhere             funnet/24
ACCEPT     icmp --  anywhere             funnet/24
REJECT     all  --  anywhere             funnet/24           reject-with 
icmp-net-prohibited


Ein "iptables -t nat --list" liefert folgendes:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  funnet/24            anywhere            to:10.0.0.250

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


"funnet/24" ist der geschützte Netzwerk Teil, der über eine SNAT in das 
Internet kann.

Wenn ich von einem Client PC im "funnet" eine "normale" ftp Verbindung öffenen 
will, so wird zunächst eine ftp Verbindung zum Zielrechner (ftp Server) 
aufgebaut. Dannach wird versucht eine andere ftp Verbindung zum Startrechner 
(ftp Client) aufzubauen.

Letzteres muss bei dieser Firewallkonfiguration scheitern.

Fragen:
=====

*) Wie kann ich von einem Rechner im "funnet" einen ftp download in das 
Internet starten ohne an der Firewall Änderungen vornehmen zu müssen?
*) Habe ich etwas übersehen und muss ich doch die Firewall Einstellungen 
ändern?
*) Wie kann ich Konqueror beibringen, dass die ftp Kommunikation nur über vom 
Client aufgebaute Verbindungen zu erfolgen hat?

Was ich will wird (so glaube ich) als passives ftp bezeichnet. Leider sagen 
aber weder die Konqueror Hilfe noch das Internet (google) sehr viel zu diesem 
Thema.

LG,
Leonhard.

FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables

Antwort per Email an