komisches Portforwarding...

[Andreas Pakulat]

Hi,

hab hier ein Problem, das irgendwie mit meinem Portforwarding
zusammenhängt: 

Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router
liegt) nicht zugreifen. Sprich folgendes Setup:

   Port21 ---   Port21 ---
I-Net  Port80 | PC1 | - Port80 | PC2 |
   Port22 ---   Port22 ---
|
|
PC3

So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den
FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht
auf den FTP-Server (mit der IP des ISDN-Interfaces). 

Kann es sein, dass durch das Routing entschieden wird, dass das von
PC2 geschickte Paket mit Destination öffentliche IP an die
INPUT-Chain von PC1 gehängt wird und nicht an die FORWARD-Chain (und
damit letztendlich ins Netz rausgehen würde?)  Achja, routing-Tabelle
sieht so aus:
[EMAIL PROTECTED]:~route -n
Kernel IP Routentabelle
ZielRouter  Genmask Flags Metric Ref Use Iface
62.104.208.42   0.0.0.0 255.255.255.255 UH0  0 0 ippp0
192.168.2.0 0.0.0.0 255.255.255.0   U 0  0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0   U 0  0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0  0 0 ippp0

Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet
brauche um mein Portforwarding zu testen?

Andreas

-- 
There was a phone call for you.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Dirk Deimeke]

Hallo Andreas,

 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den
 FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht
 auf den FTP-Server (mit der IP des ISDN-Interfaces).

hört sich stark nach einem Routing-Problem des ISDN-Rechners an.

Könntest Du bitte noch die IP-Adressen und Routen von PC1, PC2 und PC3 
(ISDN-Rechner?) angeben?

Dirk

Re: komisches Portforwarding...

[Felix M. Palmen]

Hallo Andreas,

* Andreas Pakulat [EMAIL PROTECTED] [20050222 10:02]:
 Hi,
 
 hab hier ein Problem, das irgendwie mit meinem Portforwarding
 zusammenhängt: 
 
 Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router
 liegt) nicht zugreifen. Sprich folgendes Setup:
 
Port21 ---   Port21 ---
 I-Net  Port80 | PC1 | - Port80 | PC2 |
Port22 ---   Port22 ---
   |
   |
   PC3
 
 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den
 FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht
 auf den FTP-Server (mit der IP des ISDN-Interfaces). 

Also wenn ich dich richtig verstehe hast du ein paar Ports auf deinem
öffentlichen Interface mit DNAT auf einen Rechner im LAN weitergeleitet
und kannst dieses DNAT nicht von innerhalb deines LAN testen? Das ist
normal.

Überleg mal, was passiert: Das Paket kommt z.B. mit Quell-IP PC3 und
Ziel-IP ISDN an. netfilter schreibt das Ziel um auf PC2. Soweit so gut,
das Paket geht weiter. PC2 sieht ein Paket von PC3 und antwortet an PC3.
Dein Client auf PC3 erwartet aber eine Antwort von ISDN (denn da hat er
seine Anfrage hingeschickt). Mit einer Antwort von PC2 kann er nichts
anfangen.

Im Prinzip das gleiche passiert auch wenn du von PC1 aus anfragst. Eine
Antwort kommt zurück an PC1, durchläuft also nicht das NAT weil sie
nicht über das geNATtete Interface ISDN läuft.

 Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet
 brauche um mein Portforwarding zu testen?

Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports
mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist
aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen
nicht mehr von denen von außen unterscheiden kann.

Grüße, Felix

-- 
 | /\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 10:56:59, Dirk Deimeke wrote:
 Hallo Andreas,
 
  So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den
  FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht
  auf den FTP-Server (mit der IP des ISDN-Interfaces).
 
 hört sich stark nach einem Routing-Problem des ISDN-Rechners an.

Ebend, nur hab ich keine Idee was falsch ist...

 Könntest Du bitte noch die IP-Adressen und Routen von PC1, PC2 und PC3 
 (ISDN-Rechner?) angeben?

Kein Problem (PC3 entfällt - der ist momentan sowieso offline).

PC1:
neo:~route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
62.104.208.42   0.0.0.0 255.255.255.255 UH0  0 0 ippp0
192.168.2.0 0.0.0.0 255.255.255.0   U 0  0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0   U 0  0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0  0 0 ippp0

neo:~ifconfig
eth0  Link encap:Ethernet  HWaddr 00:20:AF:ED:9E:A6
  inet addr:192.168.1.1  Bcast:192.168.1.255
  Mask:255.255.255.0
eth1  Link encap:Ethernet  HWaddr 00:02:44:87:3E:46
  inet addr:192.168.2.1  Bcast:192.168.1.255
  Mask:255.255.255.0
ippp0 Link encap:Point-to-Point Protocol
  inet addr:213.7.61.176  P-t-P:62.104.208.42
  Mask:255.255.255.255
  
Wobei sich die IP von ippp0 bei jeder Einwahl natürlich ändert...

PC2:

romorpheus:~route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0   U 0  0 0 eth0
0.0.0.0 192.168.2.1 0.0.0.0 UG0  0 0 eth0

morpheus:~ifconfig
eth0  Link encap:Ethernet  HWaddr 00:02:3F:67:BD:6C
  inet addr:192.168.2.2  Bcast:192.168.2.255
  Mask:255.255.255.0
  
Ich werd gleich nochmal probieren wie das ausschaut wenn ich die
iptables-Firewall-Regeln weglasse und nur MASQUERADE und DNAT mache...

Andreas

-- 
Just to have it is enough.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote:
 * Andreas Pakulat [EMAIL PROTECTED] [20050222 10:02]:
 Also wenn ich dich richtig verstehe hast du ein paar Ports auf deinem
 öffentlichen Interface mit DNAT auf einen Rechner im LAN weitergeleitet
 und kannst dieses DNAT nicht von innerhalb deines LAN testen? Das ist
 normal.

:-( X11-Forward über ISDN macht aber keinen Spass... (zum Testen).

 Überleg mal, was passiert: Das Paket kommt z.B. mit Quell-IP PC3 und
 Ziel-IP ISDN an. netfilter schreibt das Ziel um auf PC2. Soweit so gut,
 das Paket geht weiter. PC2 sieht ein Paket von PC3 und antwortet an PC3.
 Dein Client auf PC3 erwartet aber eine Antwort von ISDN (denn da hat er
 seine Anfrage hingeschickt). Mit einer Antwort von PC2 kann er nichts
 anfangen.

Sehr vereinfacht, aber das hab ich mir gedacht... 

  Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet
  brauche um mein Portforwarding zu testen?
 
 Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports
 mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist
 aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen
 nicht mehr von denen von außen unterscheiden kann.

?? Ich tue momentan folgendes fürs MASQUERADE:
iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE

Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist
denke ich, dass routing auf PC1. Wenn ein Paket ankommt läuft es durch
PREROUTING, dann routet der Rechner das Teil und stellt fest das die
Ziel-IP die des ippp0 Inteface ist, und dann denke ich schickt er es
nicht an FORWARD sondern an INPUT. Die Frage wäre also nur: Wie bringe
ich iptables dazu alle Pakete an INPUT mit --dport 21 nicht anzunehmen
sondern wieder nach FORWARD zu schieben? 

Andreas

-- 
You can do very well in speculation where land or anything to do with dirt
is concerned.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Felix M. Palmen]

Hallo Andreas,

* Andreas Pakulat [EMAIL PROTECTED] [20050222 12:02]:
 On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote:
  Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports
  mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist
  aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen
  nicht mehr von denen von außen unterscheiden kann.
 
 ?? Ich tue momentan folgendes fürs MASQUERADE:
 iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE
 
 Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist
 denke ich, dass routing auf PC1.

Nein, das Routing ist völlig korrekt, das Problem habe ich dir oben
erklärt. Du müsstest z.B. für Port 80 so etwas machen:

iptables -t nat -A POSTROUTING -s lan -d pc2 -p tcp --dport 80 -j \
MASQUERADE

Das ist aber wirklich nur zum Testen tauglich.

Grüße, Felix

-- 
 | /\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: komisches Portforwarding...

[Rainer Hirsel]

Hallo Andreas,

On Tue, Feb 22, 2005 at 10:02:15AM +0100, Andreas Pakulat wrote:
 Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router
 liegt) nicht zugreifen. Sprich folgendes Setup:
 
Port21 ---   Port21 ---
 I-Net  Port80 | PC1 | - Port80 | PC2 |
Port22 ---   Port22 ---
   |
   |
   PC3
 
 Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet
 brauche um mein Portforwarding zu testen?

Lege doch deine Portforwarding-Regeln bzgl. ippp0 auf PC1 auch noch
identisch für ethX (an dem PC3 hängt) an.
Dann verbindet sich PC3 auf die entsprechenden Ports von PC1 und sollte
tatsächlich aber mit PC2 kommunizieren.

HTH,
Rainer


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Dirk Deimeke]

Hallo Andreas,

 Ich werd gleich nochmal probieren wie das ausschaut wenn ich die
 iptables-Firewall-Regeln weglasse und nur MASQUERADE und DNAT mache...

das wäre meine nächste Frage.

Hast Du auf dem PC1 (neo) forwarding eingeschaltet?

echo 1  /proc/sys/net/ipv4/conf/all/forwarding

Dirk

Re: komisches Portforwarding...

[Matthias Houdek]

Am Dienstag, 22. Februar 2005 10:02 schrieb Andreas Pakulat:
 Hi,

 hab hier ein Problem, das irgendwie mit meinem Portforwarding
 zusammenhängt:

 Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem
 Router liegt) nicht zugreifen. Sprich folgendes Setup:

Port21 ---   Port21 ---
 I-Net  Port80 | PC1 | - Port80 | PC2 |
Port22 ---   Port22 ---


   PC3

 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den
 FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht
 auf den FTP-Server (mit der IP des ISDN-Interfaces).

Zum Verständnis:
Du forwardest die Ports 21, 22 und 80 auf der (öffentlichen) IP von PC1 
an die gleichen Ports auf PC2 (IP aus LAN).

Von PC1 und PC3 kommst du direkt auf PC2 (z.B. FTP) - logisch, wenn sie 
in einem Subnet liegen oder PC1 ordentlich im LAN routet.

Du willst jetzt von PC1 oder PC3 über ISDN ins Internet und von dort 
zurück und über das Port-Forwarding auf PC2. Und das geht nicht.

OK. Ich vergebe mal mangels Vorgabe folgende Adressen:

PC1:   ISDN: 200.2.2.2, default-Route an ISP mit 200.2.2.3
 zu PC3: 192.168.1.1
 zu PC2: 192.168.2.1
PC2: 192.168.2.10, default-Route an 192.168.2.1
PC3: 192.168.1.10, default-Route an 192.168.1.1

PC3 schickt jetzt ein Paket an Port 21 auf der ISDN-Karte, also an 
200.2.2.2, dass aber letztlich vom PC2 angenommen und beantwortet 
werden soll. 
Ich versuch das mal theoretsich nachzuvollziehen, die Ports lass ich mal 
weg, da ja keine Änderung erfolgt.

1.Etappe: von PC3 an default-Route (PC1)
  Paket von 192.168.1.10 an 200.2.2.2
2.Etappe: auf PC1 direkt an ISDN-IF (Output)
  Paket von 192.168.1.10 an 200.2.2.2
3.Etappe: auf PC1 Input an ISDN-IF - Forward-Regel
  Paket von 192.168.1.10 an 200.2.2.2 - neu:192.168.2.10
4.Etappe: PC1 an PC2
  Paket von 192.168.1.10 an 192.168.2.10

Antwort:
1.Etappe: PC2 an default-Route (PC1)
  192.168.2.10 an 192.168.1.10
2.Etappe: Und hier müsste es IMHO eine Konflikt geben

Warum? 
Einerseits müsste das Routing dieses Paket direkt an PC3 weiterleiten 
und alles wäre an PC3 OK.
Andererseits erkennt IPTables auf PC1 das Paket als Antwort auf das 
geforwardete und müsste es dementsprechend zurück maskieren und als 
Paket von 200.2.2.2 (neu) über ISDN an 192.168.1.10 zurückschicken 
(anscheinend wird hier automatisch das entsprechende Output-Interface 
über die Absender-IP bestimmt und kein Ziel-Routing gemacht).

Da IPTables vor dem Routing das Paket in die Finger bekommt, tritt 
offensichtlich der zweite Fall ein und es wird mit der Zieladresse 
192.168.1.10 ins Internet geschickt, womit es am Next-Hop terminiert 
wird.

Wie gesagt: Theorie. 
Überprüfe einfach mal praktisch mit einem Sniffer auf PC1, an welchen 
Ports welche Pakete hierbei ein- und ausgehen und ob das so stimmt.

Lösung:
Du solltest den Traffic von PC3 ins Internet maskieren. Dann müsste auch 
der Rückweg klappen.

HTH

-- 
Gruß
MaxX

Hinweis: PMs an diese Adresse werden automatisch vernichtet.

Re: komisches Portforwarding...

[Joerg Friedrich]

Hi,
Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 10:02:15 +0100:
 hab hier ein Problem, das irgendwie mit meinem Portforwarding
 zusammenhängt: 
 
 Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router
 liegt) nicht zugreifen. Sprich folgendes Setup:
 
Port21 ---   Port21 ---
 I-Net  Port80 | PC1 | - Port80 | PC2 |
Port22 ---   Port22 ---
   |
   |
   PC3
 
 So, von nem Rechner im Netz komme ich ohne Probleme z.B. auf den
 FTP-Server der auf PC2 läuft. Aber von PC1 oder PC2 komme ich nicht
 auf den FTP-Server (mit der IP des ISDN-Interfaces). 

Lass mich mal raten:
Du machst das portforwarding mittels DNAT im PREROUTING auf ippp0?
ungefähr so:
iptables -t nat -A PREROUTING -p tcp --dport 80 -i ippp0 -j DNAT --to pc2

in
http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO-6.html#ss6.2
steht:

Um das Ziel von lokal generierten Paketen zu aendern, kann auch die
OUTPUT-Kette benutzt werden, das ist aber eher ungewoehnlich.

also etwa:

iptables -t nat -A OUTPUT -p tcp --dport 80 -i ippp0 -j DNAT --to pc2

 Kann es sein, dass durch das Routing entschieden wird, dass das von
 PC2 geschickte Paket mit Destination öffentliche IP an die
 INPUT-Chain von PC1 gehängt wird und nicht an die FORWARD-Chain (und
 damit letztendlich ins Netz rausgehen würde?)  


ja, nachdem die öffentliche IP von PC1 Ziel der Pakete ist gehen sie
in die INPUT-Queue von PC1, da ist aber kein Listener drauf, also müsste
eigentlich ein TCP-Reset die Verbindung beenden.

also entweder bastelst Du mit den iptables rum oder Du installierst
einen (Reverse)Proxy.

-- 
Jörg Friedrich

There are only 10 types of people:
Those who understand binary and those who don't.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 12:12:00, Dirk Deimeke wrote:
 Hallo Andreas,
 
  Ich werd gleich nochmal probieren wie das ausschaut wenn ich die
  iptables-Firewall-Regeln weglasse und nur MASQUERADE und DNAT mache...
 
 das wäre meine nächste Frage.

Ok, mit:

iptables -t nat -I POSTROUTING 1 -o ippp+ -j MASQUERADE

iptables -t nat -I PREROUTING 1 -i ippp+ -p tcp --dport 21 -j DNAT --to 
192.168.2.2
iptables -t nat -I PREROUTING 2 -i ippp+ -p tcp --dport 3:30010 -j 
DNAT --to 192.168.2.2
iptables -t nat -I PREROUTING 3 -i ippp+ -p tcp --dport 22 -j DNAT --to 
192.168.2.2
iptables -t nat -I PREROUTING 4 -i ippp+ -p tcp --dport 80 -j DNAT --to 
192.168.2.2
iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 21 -j ACCEPT
iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 3:30010 -j 
ACCEPT
iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 22 -j ACCEPT
iptables -I FORWARD 1 -i ippp+ -o eth1 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD 1 -o ippp+ -i eth1 -p tcp --sport 21 -j ACCEPT
iptables -I FORWARD 1 -o ippp+ -i eth1 -p tcp --sport 3:30010 -j 
ACCEPT
iptables -I FORWARD 1 -o ippp+ -i eth1 -p tcp --sport 22 -j ACCEPT
iptables -I FORWARD 2 -o ippp+ -i eth1 -p tcp --sport 80 -j ACCEPT

gehts immernoch nicht:

[EMAIL PROTECTED]:~ftp 213.7.61.182
Nutzername [anonymous]: andreas
Passwort:
Suche IP Adresse von 213.7.61.182
Versuche B3db6.b.pppool.de:21
Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt

 Hast Du auf dem PC1 (neo) forwarding eingeschaltet?
 
 echo 1  /proc/sys/net/ipv4/conf/all/forwarding

Klaro, sonst könnte ich ja nicht ins Netz... ;-)

Andreas

-- 
Long life is in store for you.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 12:07:42, Felix M. Palmen wrote:
 Hallo Andreas,
 
 * Andreas Pakulat [EMAIL PROTECTED] [20050222 12:02]:
  On 22.Feb 2005 - 11:26:17, Felix M. Palmen wrote:
   Du kannst testweise auch alle Anfragen aus dem LAN die fraglichen Ports
   mit MASQUERADE oder SNAT auf deine öffentliche IP NATten. Das ist
   aber kein wünschenswerter Dauerzustand, weil man so Pakete von innen
   nicht mehr von denen von außen unterscheiden kann.
  
  ?? Ich tue momentan folgendes fürs MASQUERADE:
  iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE
  
  Sprich alles was auf ipppX rausgeht wird maskiert. Das Problem ist
  denke ich, dass routing auf PC1.
 
 Nein, das Routing ist völlig korrekt, das Problem habe ich dir oben
 erklärt. Du müsstest z.B. für Port 80 so etwas machen:
 
 iptables -t nat -A POSTROUTING -s lan -d pc2 -p tcp --dport 80 -j \
 MASQUERADE
 
 Das ist aber wirklich nur zum Testen tauglich.

Hmm, also ich hab die Firewall jetzt ausgemacht und nur noch das DNAT
und das MASQUERADE (für den I-Net Zugang) an und 

neo:~iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.2 -p tcp 
--dport21 -j MASQUERADE
neo:~iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 192.168.2.2 -p tcp 
--dport3:30010 -j MASQUERADE

Aber ein ftp von PC2 aus:

ftp [EMAIL PROTECTED]:~ftp 213.7.61.182
Nutzername [anonymous]: andreas
Passwort:
Suche IP Adresse von 213.7.61.182
Versuche B3db6.b.pppool.de:21
Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt

Irgendwas ist da noch immer nicht in Ordnung...

Andreas

-- 
You may be infinitely smaller than some things, but you're infinitely 
larger than others.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 12:10:30, Rainer Hirsel wrote:
 On Tue, Feb 22, 2005 at 10:02:15AM +0100, Andreas Pakulat wrote:
  Ich kann die öffentlichen Ports aus dem LAN (welches hinter dem Router
  liegt) nicht zugreifen. Sprich folgendes Setup:
  
 Port21 ---   Port21 ---
  I-Net  Port80 | PC1 | - Port80 | PC2 |
 Port22 ---   Port22 ---
  |
  |
  PC3
  
  Wie kriege ich das hin, dass ich keinen anderen Rechner im Internet
  brauche um mein Portforwarding zu testen?
 
 Lege doch deine Portforwarding-Regeln bzgl. ippp0 auf PC1 auch noch
 identisch für ethX (an dem PC3 hängt) an.
 Dann verbindet sich PC3 auf die entsprechenden Ports von PC1 und sollte
 tatsächlich aber mit PC2 kommunizieren.

PC3 hatte ich nur der Vollständigkeit halber erwähnt. Ich sitze an PC2
und von dem will ich auf seinen FTP-Server (aber übers Netz um das
Portforwarding zu testen)

Andreas

-- 
Reply hazy, ask again later.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Dirk Deimeke]

Hi,

 Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt

hast Du einmal mit einem nmap auf den Rechner geschossen?

nmap -sS -p 21 B3db6.b.pppool.de

Bist Du Dir sicher, daß der ftp-Server einen Highport aus der Range 
3:30010 benötigt.

Ich mußte auf einem anderen Paketfilter alles jenseits der 1024 freigeben.

Dirk

Re: komisches Portforwarding...

[Felix M. Palmen]

Hallo Andreas,

* Andreas Pakulat [EMAIL PROTECTED] [20050222 13:06]:
 Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt

Achja mit MASQUERADE kann es ja nicht funktionieren, mein Fehler, es
muss ja auf das Interface geNATtet werden, über das das Paket zum
Server rausging. Also SNAT auf das LAN-Interface.

Mehr Infos hier:
http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT

Warnungen ernst nehmen.

Grüße, Felix

-- 
 | /\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 12:13:49, Matthias Houdek wrote:
 Am Dienstag, 22. Februar 2005 10:02 schrieb Andreas Pakulat:
 Zum Verständnis:
 Du forwardest die Ports 21, 22 und 80 auf der (öffentlichen) IP von PC1 
 an die gleichen Ports auf PC2 (IP aus LAN).

Jupp.

 Von PC1 und PC3 kommst du direkt auf PC2 (z.B. FTP) - logisch, wenn sie 
 in einem Subnet liegen oder PC1 ordentlich im LAN routet.

Er routet ordentlich und es geht ja auch nicht primär um den Zugang.
Ich wollte das Portforwarding testen - das klappte nicht von PC2 aus
(an dem ich sitze), deshalb frug ich hier. Portforwarding klappt zwar
mittlerweile gut, aber mir gehts jetzt darum herauszufinden ob es eine
Möglichkeit gibt vom Rechner im LAN das Portforwarding zu testen...

 Du willst jetzt von PC1 oder PC3 über ISDN ins Internet und von dort 
 zurück und über das Port-Forwarding auf PC2. Und das geht nicht.

Ich will eigentlich von PC2 über ISDN ins Netz und dann zurück zu PC2.
PC3 ist ne Win-Kiste und ich hab sie nur der Vollständigkeit halber
erwähnt.

 OK. Ich vergebe mal mangels Vorgabe folgende Adressen:
 
 PC1:   ISDN: 200.2.2.2, default-Route an ISP mit 200.2.2.3

Ändert sich ständig.

  zu PC3: 192.168.1.1
  zu PC2: 192.168.2.1
 PC2: 192.168.2.10, default-Route an 192.168.2.1 

192.168.2.2

 PC3: 192.168.1.10, default-Route an 192.168.1.1

192.168.1.2

 PC3 schickt jetzt ein Paket an Port 21 auf der ISDN-Karte, also an 
 200.2.2.2, dass aber letztlich vom PC2 angenommen und beantwortet 
 werden soll. 

Genau :-)

 1.Etappe: von PC3 an default-Route (PC1)
   Paket von 192.168.1.10 an 200.2.2.2
 2.Etappe: auf PC1 direkt an ISDN-IF (Output)
   Paket von 192.168.1.10 an 200.2.2.2
 3.Etappe: auf PC1 Input an ISDN-IF - Forward-Regel
   Paket von 192.168.1.10 an 200.2.2.2 - neu:192.168.2.10
 4.Etappe: PC1 an PC2
   Paket von 192.168.1.10 an 192.168.2.10
 
 Antwort:
 1.Etappe: PC2 an default-Route (PC1)
   192.168.2.10 an 192.168.1.10
 2.Etappe: Und hier müsste es IMHO eine Konflikt geben

Ich schätze mal...

Folgendes sehe ich mit ethereal:
DNS-Anfrage Standard query PTR 182.621.7.213.in-addr.arpa (ist die
public-IP in umgekehrter Reihenfolge)
Antwort ist Standard query response PTR B3db6.b.pppool.de

Dann ein TCP Zugriff auf 213.7.61.182:
33593  ftp [SYN] Seq=0 Ack=0 Win=5840 Len=0 MSS=1460 TSV=14947772
Antwort darauf kommt noch:
ftp  33593 [RST, ACK] Seq=0 Ack=0 Win=0 Len=0

Hmm und danach ebend nichts mehr und der ftp-Client sagt er bekommt
keine Verbindung... 

 Warum? 
 Einerseits müsste das Routing dieses Paket direkt an PC3 weiterleiten 
 und alles wäre an PC3 OK.
 Andererseits erkennt IPTables auf PC1 das Paket als Antwort auf das 
 geforwardete und müsste es dementsprechend zurück maskieren und als 
 Paket von 200.2.2.2 (neu) über ISDN an 192.168.1.10 zurückschicken 
 (anscheinend wird hier automatisch das entsprechende Output-Interface 
 über die Absender-IP bestimmt und kein Ziel-Routing gemacht).
 
 Da IPTables vor dem Routing das Paket in die Finger bekommt, tritt 
 offensichtlich der zweite Fall ein und es wird mit der Zieladresse 
 192.168.1.10 ins Internet geschickt, womit es am Next-Hop terminiert 
 wird.

Hmm, also ganz so wohl nicht, jedenfalls kriege ich 1 Antwort von
213.7.61.182. Allerdings ebend danach nichts mehr...

 Überprüfe einfach mal praktisch mit einem Sniffer auf PC1, an welchen 
 Ports welche Pakete hierbei ein- und ausgehen und ob das so stimmt.

Genau das hatte ich schon gemacht (tethereal) aber ich machs nochmal
mit ausgeschalteter Firewall...

Hmm, also ich sehe auch auf PC1 in eth1 diesselben Pakete wie oben
(einmal DNS-Kram, und SYN und RST,ACK für ftp). Auf ippp0 dagegen sehe
ich _nur_ die DNS-Anfrage, nicht die ftp-Pakete...

 Lösung:
 Du solltest den Traffic von PC3 ins Internet maskieren. Dann müsste auch 
 der Rückweg klappen.

Sollte das nicht durch

iptables -t nat -A POSTROUTING -o ippp+ -j MASQUERADE 

passieren, das maskiert alles was an ippp+ rausgeht.

Eines noch: Wenn auf dem Router ein FTP-Server läuft komme ich von PC2
mit ftp public-IP auf den FTP-server auf PC1. Also ist das Problem
in der Tat, dass aus irgendeinem Grund die Pakete von PC2 nicht in die
Forward-Kette sondern in die Input-Kette laufen...

Andreas

-- 
You can rent this space for only $5 a week.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 13:26:23, Dirk Deimeke wrote:
 Hi,
 
  Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt
 
 hast Du einmal mit einem nmap auf den Rechner geschossen?
 
 nmap -sS -p 21 B3db6.b.pppool.de

Port ist closed, aus dem LAN jedenfalls. Das Problem sind die
iptables, die Pakete aus dem LAN landen in INPUT nicht in FORWARD...

 Bist Du Dir sicher, daß der ftp-Server einen Highport aus der Range 
 3:30010 benötigt.

Ja, denn das habe ich dem FTP-Server ja extra beigebracht, fürs
Passive-FTP. Der Control-Channel ist trotzdem noch 21. 

Wie gesagt aus dem Internet gehts ja und momentan ist die Firewall
abgeschaltet.

Andreas

-- 
You like to form new friendships and make new acquaintances.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 13:27:41, Felix M. Palmen wrote:
 Hallo Andreas,
 
 * Andreas Pakulat [EMAIL PROTECTED] [20050222 13:06]:
  Keine Verbindung zu B3db6.b.pppool.de möglich: Verbindungsaufbau abgelehnt
 
 Achja mit MASQUERADE kann es ja nicht funktionieren, mein Fehler, es
 muss ja auf das Interface geNATtet werden, über das das Paket zum
 Server rausging. Also SNAT auf das LAN-Interface.
 
 Mehr Infos hier:
 http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT

Aha, das erklärt einiges.

 Warnungen ernst nehmen.

Da Portforwarding funktioniert brauche ich das Testing ja erstmal
nicht mehr. Aber für nen Test kann man die Warnungen wohl
ignorieren, ein dauerhaftes Setup ist so natürlich nicht sehr gut
und IHMO auch nicht sinnvoll, da Rechner im LAN ja direkten Zugriff
ohne das I-Net machen können...

Andreas

-- 
You will be called upon to help a friend in trouble.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Dirk Deimeke]

Hi Andreas,

 Port ist closed, aus dem LAN jedenfalls. Das Problem sind die
 iptables, die Pakete aus dem LAN landen in INPUT nicht in FORWARD...

sorry, da bin ich nicht fit genug ...

Dirk


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Helmut Wollmersdorfer]

Felix M. Palmen wrote:
Mehr Infos hier:
http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT
Danke, hat auch mir geholfen.
Jetzt frage ich mich nur, warum billige NAT/PAT Router damit zurecht 
kommen, aber nach Umstellung auf einen Cisco 831 hatte ich genau das 
selbe Problem. Hab's vorläufig mit einem LAN-DNS gelöst.

Helmut Wollmersdorfer
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Felix M. Palmen]

Hallo Helmut,

* Helmut Wollmersdorfer [EMAIL PROTECTED] [20050222 15:40]:
 Felix M. Palmen wrote:
 http://www.faqs.org/docs/iptables/targets.html, Abschnitt DNAT

 Jetzt frage ich mich nur, warum billige NAT/PAT Router damit zurecht 
 kommen,

Weil billige Router sehr primitiv arbeiten und als einziges Ziel haben,
möglichst viele Verbindungen funktionieren zu lassen.
Sicherheitsthemen sind da uninteressant, also kann man bei einem
Portforward auch gleich automatisch Quell- und Zieladresse umschreiben.

 aber nach Umstellung auf einen Cisco 831 hatte ich genau das 
 selbe Problem. Hab's vorläufig mit einem LAN-DNS gelöst.

Wieso vorläufig? Genau so ist es richtig[tm]. Man verzichtet auf NAT wo
immer das möglich ist. Bei einer Verbindung, die direkt möglich wäre,
auch gleich noch beide Adressen umzuschreiben, ist einfach Quatsch (und
führt ja auch zu Problemen beim Logging: Wer hat denn jetzt wirklich
zugegriffen?)

Grüße, Felix

-- 
 | /\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 15:59:40, Felix M. Palmen wrote:
 * Helmut Wollmersdorfer [EMAIL PROTECTED] [20050222 15:40]:
  Felix M. Palmen wrote:
  aber nach Umstellung auf einen Cisco 831 hatte ich genau das 
  selbe Problem. Hab's vorläufig mit einem LAN-DNS gelöst.
 
 Wieso vorläufig? Genau so ist es richtig[tm]. Man verzichtet auf NAT wo
 immer das möglich ist. Bei einer Verbindung, die direkt möglich wäre,
 auch gleich noch beide Adressen umzuschreiben, ist einfach Quatsch (und
 führt ja auch zu Problemen beim Logging: Wer hat denn jetzt wirklich
 zugegriffen?)

Ok, da muss ich gleich nochmal nachhaken. Inwiefern hilft ein DNS im
LAN (wir meinen doch wohl Domain-Name-Server?) bei der Problematik?
Führt eine passende Configuration desselben etwa dazu, dass eine
Anfrage aus dem LAN auf die öffentliche IP des Router-PC's auf die
LAN-IP des zuständigen Rechners umgeändert wird (kann ich mir
eigentlich nicht vorstellen)?

Andreas

-- 
You will attract cultured and artistic people to your home.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Felix M. Palmen]

Hallo Andreas,

* Andreas Pakulat [EMAIL PROTECTED] [20050222 16:22]:
 Ok, da muss ich gleich nochmal nachhaken. Inwiefern hilft ein DNS im
 LAN (wir meinen doch wohl Domain-Name-Server?) bei der Problematik?
 Führt eine passende Configuration desselben etwa dazu, dass eine
 Anfrage aus dem LAN auf die öffentliche IP des Router-PC's auf die
 LAN-IP des zuständigen Rechners umgeändert wird (kann ich mir
 eigentlich nicht vorstellen)?

Nein. Man arbeitet für gewöhnlich nicht mit IP-Adressen sondern mit
Namen. Eine geeignete Konfiguration des lokalen Nameservers führt dazu,
dass der gewünschte Name des Serverrechnes (etwa ftp.dyndns.example) auf
bei einer Anfrage von innen auf den passenden lokalen Rechner zeigt.

Ein Rechner außerhalb, der diesen Namen auflösen will, wird dagegen die
IP-Adresse des externen Netzwerkinterfaces bekommen, das für diesen
Client dann NAT macht.

Soll die Antworten auf Anfragen von außen der gleiche Nameserver geben,
benötigt man sogenanntes split DNS (Antwort abhängig von der
Quell-Adresse der Anfrage).

Grüße, Felix

-- 
 | /\   ASCII Ribbon   | Felix M. Palmen (Zirias)http://zirias.ath.cx/ |
 | \ / Campaign Against | [EMAIL PROTECTED]  encrypted mail welcome |
 |  XHTML In Mail   | PGP key: http://zirias.ath.cx/pub.txt |
 | / \ And News | ED9B 62D0 BE39 32F9 2488 5D0C 8177 9D80 5ECF F683 |


signature.asc
Description: Digital signature

Re: komisches Portforwarding...

[Helmut Wollmersdorfer]

Andreas Pakulat wrote:
Ok, da muss ich gleich nochmal nachhaken. Inwiefern hilft ein DNS im
LAN (wir meinen doch wohl Domain-Name-Server?) bei der Problematik?
Führt eine passende Configuration desselben etwa dazu, dass eine
Anfrage aus dem LAN auf die öffentliche IP des Router-PC's auf die
LAN-IP des zuständigen Rechners umgeändert wird (kann ich mir
eigentlich nicht vorstellen)?
Eine Anfrage aus dem LAN wird dann gleich direkt auf die LAN-IP des 
Servers aufgelöst, wird dann also garnicht geNATed.

Bei mir selbe Ursache, mit anderer Situation. Für das Testen der 
Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort 
aus z.B. Lynx verwenden. Für Test von Browserkompatibilität ist das 
natürlich nix, aber das mach ich eh auf Testumgebungen und nicht in 
Produktion. Bleibt ein Problem: wenn ein VirtualServer im Apache ein 
Rewrite z.B. von abc.com auf xyz.com:8080 macht, dann ergibt sich das 
selbe Problem.

Helmut Wollmersdorfer
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Helmut Wollmersdorfer]

Felix M. Palmen wrote:
[LAN-DNS]
Wieso vorläufig? Genau so ist es richtig[tm].
Ja, eh.
Vorläufig deshalb, weil ich die /etc/hosts auf meiner Workstation und am 
Server missbraucht habe. Split-DNS wär natürlich eine vernünftigere 
Lösung für ca. 30 virtual Hosts und über ein dutzend Clients. Bisher 
konnte ich der Syntax aus der Lochkartenära von BIND erfolgreich 
ausweichen;-)

Helmut Wollmersdorfer
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Andreas Pakulat]

On 22.Feb 2005 - 16:52:34, Helmut Wollmersdorfer wrote:
 Bei mir selbe Ursache, mit anderer Situation. Für das Testen der 
 Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort 
 aus z.B. Lynx verwenden.

Für meine Tests ist lynx leider nicht das richtige - Zugriff auf
FTP-Server via Browser. Und X11-Forwarding über ISDN ist nun wirklich
nicht spassig (gftp geht grad noch soo)...

Andreas

-- 
Best of all is never to have been born.  Second best is to die soon.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: komisches Portforwarding...

[Joerg Friedrich]

Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 17:20:22 +0100:
 On 22.Feb 2005 - 16:52:34, Helmut Wollmersdorfer wrote:
  Bei mir selbe Ursache, mit anderer Situation. Für das Testen der 
  Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort 
  aus z.B. Lynx verwenden.
 
 Für meine Tests ist lynx leider nicht das richtige - Zugriff auf
 FTP-Server via Browser. Und X11-Forwarding über ISDN ist nun wirklich
 nicht spassig (gftp geht grad noch soo)...
 

warum testest Du ftp nicht mit ftp, ncftp, wget?

-- 
Jörg Friedrich

There are only 10 types of people:
Those who understand binary and those who don't.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: FTP-Probleme (was: komisches Portforwarding...)

[Andreas Pakulat]

On 22.Feb 2005 - 17:21:55, Joerg Friedrich wrote:
 Andreas Pakulat schrieb am Dienstag, 22. Februar 2005 um 17:20:22 +0100:
  On 22.Feb 2005 - 16:52:34, Helmut Wollmersdorfer wrote:
   Bei mir selbe Ursache, mit anderer Situation. Für das Testen der 
   Erreichbarkeit von aussen kann ich ja mit SSH wo einloggen und von dort 
   aus z.B. Lynx verwenden.
  
  Für meine Tests ist lynx leider nicht das richtige - Zugriff auf
  FTP-Server via Browser. Und X11-Forwarding über ISDN ist nun wirklich
  nicht spassig (gftp geht grad noch soo)...
  
 
 warum testest Du ftp nicht mit ftp, ncftp, wget?

Weil das Problem nur bei Zugriff über Webbrowser auftrat. 

Ok, auch wenns OT wird: Ausgansproblem war, dass mein Vater auf seinem
Rechner den sog. Jana-Server als FTP-Server betreibt, ebenso wie ein
Bekannter von ihm. Beide wollten nun die in einer neuen Version
hinzugekommene Möglichkeit die Passive-Ports festzulegen ausprobieren.
Dabei fiel auf, dass der Zugriff mittels Webbrowser (firefox) auf den
FTP-Server (von einem Rechner der separat im Internet hängt) nur bei
meinem Vater funktionierte, bei dem Bekannten gings. Wobei bei beiden
Servern ein Zugriff mittels echtem FTP-Client funktioniert.

Die hatten sich den Traffic mit ethereal angeguckt aber nichts
gefunden. Also wollte ich mal schauen wie das mit meinem proftpd
aussieht. Entsprechende Änderung an der Config und dann kam das
Portforwarding-Problem. Ich also Doku gesucht und versucht das
einzurichten, beim Testen des Portforwarding stiess ich auf das
Eingangs erwähnte Problem aus dem LAN nicht auf die public-IP-
FTP-Port zugreifen zu können.

Um nun das Problem meines Vaters nachvollziehen zu können, mit meinem
FTP-Server, muss ich per ssh auf einen Rechner im Internet (Uni) und
von diesem dann per Webbrowser auf meine public-IP. Das geht aber mit
lynx nicht (jedenfalls passiert da 5 Minuten lang nichts..) und
X11-Forward ist wie gesagt über ISDN nur mehr schlecht als recht...

Andreas

-- 
You will be attacked by a beast who has the body of a wolf, the tail of
a lion, and the face of Donald Duck.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: FTP-Probleme (was: komisches Portforwarding...)

[Rainer Bendig aka Ny]

Moin Moin Andreas Pakulat, *,

Andreas Pakulat wrote on Feb 22, 2005 at 06:10PM +0100:
 von diesem dann per Webbrowser auf meine public-IP. Das geht aber mit
 lynx nicht (jedenfalls passiert da 5 Minuten lang nichts..) und
 X11-Forward ist wie gesagt über ISDN nur mehr schlecht als recht...
Du kannst auch einfach einen externen Proxy nehmen (Provider, freier
proxy, $proxyvonkumpel)
-- 
-
Rainer Bendig aka ny   GnuPG-Key 0x41D44F10


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)