Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
Am Montag, 31. Oktober 2005 07:25 schrieb Werner Mahr: Am Sonntag, 30. Oktober 2005 22:27 schrieb Mag. Leonhard Landrock: Chain INPUT (policy ACCEPT) Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) Chain PREROUTING (policy ACCEPT) Chain POSTROUTING (policy ACCEPT) Chain OUTPUT (policy ACCEPT) Du solltest dein Setup nochmal überdenken. Da die Verbindung, wenn nicht anders geregelt, Akzeptiert wird, musst du alles was du nicht willst verbieten. Dabei ist die Gefahr groß, das du was vergisst. Wenn du aber die Policy änderst, werden mit Sicherheit noch einige Arbeiten mehr anstehen. Habe jetzt einmal die Politik für den filter table auf DROP geändert und connection tracking eingeführt. Danke für den Hinweis. Leonhard
Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
am 30.10.2005, um 22:27:01 +0100 mailte Mag. Leonhard Landrock folgendes: Hallo zusammen! Der aktuelle Zustand: == [ Firewallregeln mit iptables ohne die Möglichkeiten des stateful auszunutzen ] Was Du suchst ist connection tracking und stateful filtering. Dann klappt auch FTP sowohl active als auch passive sowohl als Client als auch als Server hinter einem NAT-Router. http://netfilter.org hat die nötige Doku zum Thema. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
On 30.10.05 22:27:01, Mag. Leonhard Landrock wrote: *) Wie kann ich von einem Rechner im funnet einen ftp download in das Internet starten ohne an der Firewall Änderungen vornehmen zu müssen? Indem du passives FTP nutzt. *) Habe ich etwas übersehen und muss ich doch die Firewall Einstellungen ändern? Nein, sofern die Server Passives FTP unterstuetzten. *) Wie kann ich Konqueror beibringen, dass die ftp Kommunikation nur über vom Client aufgebaute Verbindungen zu erfolgen hat? Indem du passives FTP im Kontrollzentrum aktivierst - bzw. in den Einstellungen von Konqueror. Frag mich nicht wo genau, das muesste ich auch erst suchen... Was ich will wird (so glaube ich) als passives ftp bezeichnet. Leider sagen aber weder die Konqueror Hilfe noch das Internet (google) sehr viel zu diesem Thema. Ok, suche ich doch mal fix... Ach, doch nur im Kontrollzentrum - global fuers ganze KDE unter InternetNetzwerk-Verbindungseinstellungen. In KDE4 soll das wohl nicht mehr so undurchsichtig und verstreut liegen mit den Einstellungen... Andreas -- Exercise caution in your daily affairs. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
Am Sonntag, 30. Oktober 2005 22:27 schrieb Mag. Leonhard Landrock: Hallo zusammen! Moin Leonhard, Rechner firewall betreibt einfache Paketfilterung. funnet/24 ist der geschützte Netzwerk Teil, der über eine SNAT in das Internet kann. Wenn ich von einem Client PC im funnet eine normale ftp Verbindung öffenen will, so wird zunächst eine ftp Verbindung zum Zielrechner (ftp Server) aufgebaut. Dannach wird versucht eine andere ftp Verbindung zum Startrechner (ftp Client) aufzubauen. Letzteres muss bei dieser Firewallkonfiguration scheitern. Dat mokt nix. Fragen: = *) Wie kann ich von einem Rechner im funnet einen ftp download in das Internet starten ohne an der Firewall Änderungen vornehmen zu müssen? *) Habe ich etwas übersehen und muss ich doch die Firewall Einstellungen ändern? *) Wie kann ich Konqueror beibringen, dass die ftp Kommunikation nur über vom Client aufgebaute Verbindungen zu erfolgen hat? Das kann der schon. Was ich will wird (so glaube ich) als passives ftp bezeichnet. Leider sagen aber weder die Konqueror Hilfe noch das Internet (google) sehr viel zu diesem Thema. Ich habe noch nie dem Konqueror oder einem anderen FTP-fähigen Browser mitteilen müssen, er möge bitte passives FTP benutzen. Das RFC 959 von 1985! beschreibt PASV für FTP - daher benützen heute AFAIK alle Browser von Haus aus passives FTP (oder verwenden dies, wenn aktives FTP wg. Timeout scheitert). Mit ethereal kannst Du Dir die Päckchen ansehen, die Dein Rechner verschickt, Du wirst sehen, das Dein Browser ein PASV sendet. Dies teilt dem FTP-Server mit, daß der Client passives FTP wünscht - der Server bestätigt dies und dann baut der Client die Datenverbindung auf. Machst Du Dir nur präventiv Sorgen, oder funktioniert das bei Dir nicht so? LG, Leonhard. Tschüss dirk
Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
Am Sonntag, 30. Oktober 2005 22:43 schrieb Andreas Pakulat: On 30.10.05 22:27:01, Mag. Leonhard Landrock wrote: Nein, sofern die Server Passives FTP unterstuetzten. Gibt es noch welche die das nicht machen? 20 Jahre für die Umsetzung sollten doch wohl reichen. ;-) Ach, doch nur im Kontrollzentrum - global fuers ganze KDE unter InternetNetzwerk-Verbindungseinstellungen. Das ist aber doch standardmäßig angehakt?! Ich habe jedenfalls noch nie dort etwas geändert. Die Frage ist, ob Leonhard sich nur Sorgen macht, oder ob es nicht funktioniert. Andreas dirk
Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
Am Sonntag, 30. Oktober 2005 22:43 schrieb Andreas Pakulat: On 30.10.05 22:27:01, Mag. Leonhard Landrock wrote: Ok, suche ich doch mal fix... Ach, doch nur im Kontrollzentrum - global fuers ganze KDE unter InternetNetzwerk-Verbindungseinstellungen. Ist mir jetzt echt unangenehm. Bin aber von Windows gewohnt, dass diese Einstellung beim Webbrowser vorzunehmen ist und dort habe ich nichts gefunden. Anmerkung: --- Im KDE Kontrollzentrum unter Internet Netzwerk - Einstellungen im Teil FTP-Optionen war bei mir Passiven Modus (PASV) aktivieren bereits angewählt. Ich verstehe jetzt nicht, wieso ich gestern Probleme beim Herunterladen von zwei Dateien über ftp hatte. Ich dachte die Firewall sei schuld. Aber möglicherweise lag sogar ein Problem mit dem Server vor, der die beiden Dateien bereitstellt. Immerhin habe ich jetzt doch wieder was dazu gelernt. Andreas Vielen Dank. Leonhard.
Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
Am Sonntag, 30. Oktober 2005 23:02 schrieb Dirk Wernien: Am Sonntag, 30. Oktober 2005 22:27 schrieb Mag. Leonhard Landrock: Hallo zusammen! Moin Leonhard, Ich habe noch nie dem Konqueror oder einem anderen FTP-fähigen Browser mitteilen müssen, er möge bitte passives FTP benutzen. Das RFC 959 von 1985! beschreibt PASV für FTP - daher benützen heute AFAIK alle Browser von Haus aus passives FTP (oder verwenden dies, wenn aktives FTP wg. Timeout scheitert). Mit ethereal kannst Du Dir die Päckchen ansehen, die Dein Rechner verschickt, Du wirst sehen, das Dein Browser ein PASV sendet. Dies teilt dem FTP-Server mit, daß der Client passives FTP wünscht - der Server bestätigt dies und dann baut der Client die Datenverbindung auf. Machst Du Dir nur präventiv Sorgen, oder funktioniert das bei Dir nicht so? LG, Leonhard. Tschüss dirk Danke für die Informationen Dirk. Habe hier zumersten mal gelesen, dass PASV für FTP bereits 1985 in der RFC 959 definiert worden ist. Zum Thema Sorgen verweise ich einfach mal auf meine Antwort zu Andreas Pakulats E-Mail. Bin für diese zusätzliche Info (bereits 20 Jahre passives ftp) sehr dankbar. LG, Leonhard
Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
On 30.10.05 23:09:07, Dirk Wernien wrote: Am Sonntag, 30. Oktober 2005 22:43 schrieb Andreas Pakulat: On 30.10.05 22:27:01, Mag. Leonhard Landrock wrote: Nein, sofern die Server Passives FTP unterstuetzten. Gibt es noch welche die das nicht machen? 20 Jahre für die Umsetzung sollten doch wohl reichen. ;-) Ich meinte nicht, dass ein FTP-Server das nicht kann, sondern dass der Admin das ausgeschaltet hat - aus welchen Gruenden auch immer. Andreas -- Are you a turtle? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: FTP-Download mit Konquerer bei aktiver Paketfilterung mit iptables
Am Sonntag, 30. Oktober 2005 22:27 schrieb Mag. Leonhard Landrock: Chain INPUT (policy ACCEPT) Chain FORWARD (policy ACCEPT) Chain OUTPUT (policy ACCEPT) Chain PREROUTING (policy ACCEPT) Chain POSTROUTING (policy ACCEPT) Chain OUTPUT (policy ACCEPT) Du solltest dein Setup nochmal überdenken. Da die Verbindung, wenn nicht anders geregelt, Akzeptiert wird, musst du alles was du nicht willst verbieten. Dabei ist die Gefahr groß, das du was vergisst. Wenn du aber die Policy änderst, werden mit Sicherheit noch einige Arbeiten mehr anstehen. -- MfG usw. Werner Mahr registered Linuxuser: 303822 pgpPT9T1nJTZM.pgp Description: PGP signature