vsFTP & Firewall - Suse 9.3

[Mik3e]

Hi zusammen,

Habe folgendes Problem:
Nach langem rumspielen hab ich nun endlich vsFTP (vsftpd) zum Laufen gebracht.
Melde ich mich direkt am server an (localhost) oder deaktiviere ich die Firewall und melde ich mich remote per FTP an, klappt alles bestens.

Ist die Firewall aktiviert, geht leider gar nichts mehr. YAST bietet in den Firewall-Settings als Dienst allerdings nur TFTP an.

Frage:
Wie kann ich Port 21 für vsftpd in den Firewall-Settings öffnen? Bzw. was muss ich genau konfigurieren, damit ich dieses letzte Problem nun endlich auch überwinden kann..

Danke & CIao,
Mike

 

[Dennis Wronka]

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Damit FTP vernuenftig funktioniert muss das Connection Tracking fuer FTP Verbindungen laufen. Das ist vom Kernel abhaengig, entweder muss es einkompiliert oder als Modul vorhanden sein.
Dann kann die 2. Zeile selbstaendig dafuer sorgen, dass die FTP-Verbindungen richtig ankommen. Ansonsten ist FTP so eine Sache ueber eine Firewall. Da kann man sich schon etwas totkonfigurieren.

 

[Mik3e]

Hi,

Danke vorweg... Ich vermute der Port 21 ist sowieso geöffnet (tftp).
Muss ich nicht irgendwo die Zuweisung des Dienstes zu dem entsprechenden Port konfigurieren

LG
Mike

 

[Dennis Wronka]

Also tftp ist Port 69, zu ersehen in /etc/services
Daher muss wohl Port 21 auch angegeben werden.

Der Dienst der nun wirklich auf dem Port lauscht ist IPTables erstmal egal.
Nur bei der 2. Zeile

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

wird durch das RELATED dann auch das Protokoll untersucht und gegebenenfalls gehandelt. Wie bei FTP zum Beispiel, dass die Datenverbindung hergestellt werden kann.
Welche Protokolle untersucht werden koennen haengt von der NetFilter-Konfiguration im Kernel ab und evtl. vorhanden, bzw. geladenen Modulen.

Ausserdem wuerde ich Dir dringend empfehlen Dich mit IPTables vertraut zu machen und Dich nicht auf den Wizard/das GUI im Yast zu verlassen.
IPTables ist im Grunde recht einfach zu bedienen wenn man sich ein wenig damit befasst.
Ein guter Einstieg sind die HowTos auf iptables.org.
Insbesondere diese beiden:

• Packet Filtering HOWTO [Deutsch][Englisch]
• NAT HOWTO [Deutsch][Englisch]

 

[Mik3e]

Hi,

Danke für die vielen Infos..
Habe das Thema FTP vorerst auf die Seite gelegt und mich mit den anderen Services beschäftigt. Da bin ich dann auch gleich aufs nächste Problem gestoßen - vielleicht kannst Du mir weiterhelfen:
http://www.tutorials.de/tutorials223153.html

Danke & Ciao,
Mike