Hallo,
seit einigen Stunden knobele ich ergebnislos an einer Geschichte, zu der ich zunächst das Szenario erklären möchte:
1) eine Linuxmaschine (Suse 11.0) agiert als Gateway, Nameserver, Proxy, Firewall (Masquerading eingerichte) etc., und trennt eine kleines lokales Netz von der Internet-Aussenwelt.
2) soweit ich mich erinnere genügte es bei Versionen bis SuSE 10.x in der Firewall die Port Tcp 21 (ich meine mich erinnern zu können, dass bei einer Version auch port 20 zu öffnen war)zu öffnen, damit Ftp-Programme der Client PCs aus dem lokalen Netz über die Firewall Verbindungung zu FTP-Servern draussen in der Welt herstellen konnten.
3) bei der 11.0 ist nun zu beobachten, daß eine Verbindung über Port 21 grundsätzlich hergestellt werden kann, das wars dann aber auch. Ein ftp> ls führt nicht zum Erfolg. Stattdessen sieht man im /var/log/firewall, daß eine Antwort/Paket* zwar auf irgendwelche hohen ports geDROP't wird
* Korrektur: Paket vom lokalen client (SRC) zum externen Server (DEST)
4) Die Geschichte funktioniert, wenn FW_MASQ_NETS="192.168.0.2,0/0,tcp,21" geändert wird in FW_MASQ_NETS="192.168.0.2,0/0,tcp,21 192.168.0.2,0/0,tcp,1024:65535" - keinen Erfolg bringt übrigens dieser Eintrag: FW_MASQ_NETS="192.168.0.2,0/0,tcp,20:21"
Ich würde das Öffnen der Ports als unsicher und unschön bezeichnen wollen und meine Frage lautet nun, ob das nicht anders zu lösen ist und was ich bei der Konfiguration falsch gemacht oder übersehen haben könnte.
Für allfällige Tips mal vorab besten Dank
Uli
seit einigen Stunden knobele ich ergebnislos an einer Geschichte, zu der ich zunächst das Szenario erklären möchte:
1) eine Linuxmaschine (Suse 11.0) agiert als Gateway, Nameserver, Proxy, Firewall (Masquerading eingerichte) etc., und trennt eine kleines lokales Netz von der Internet-Aussenwelt.
2) soweit ich mich erinnere genügte es bei Versionen bis SuSE 10.x in der Firewall die Port Tcp 21 (ich meine mich erinnern zu können, dass bei einer Version auch port 20 zu öffnen war)zu öffnen, damit Ftp-Programme der Client PCs aus dem lokalen Netz über die Firewall Verbindungung zu FTP-Servern draussen in der Welt herstellen konnten.
3) bei der 11.0 ist nun zu beobachten, daß eine Verbindung über Port 21 grundsätzlich hergestellt werden kann, das wars dann aber auch. Ein ftp> ls führt nicht zum Erfolg. Stattdessen sieht man im /var/log/firewall, daß eine Antwort/Paket* zwar auf irgendwelche hohen ports geDROP't wird
* Korrektur: Paket vom lokalen client (SRC) zum externen Server (DEST)
4) Die Geschichte funktioniert, wenn FW_MASQ_NETS="192.168.0.2,0/0,tcp,21" geändert wird in FW_MASQ_NETS="192.168.0.2,0/0,tcp,21 192.168.0.2,0/0,tcp,1024:65535" - keinen Erfolg bringt übrigens dieser Eintrag: FW_MASQ_NETS="192.168.0.2,0/0,tcp,20:21"
Ich würde das Öffnen der Ports als unsicher und unschön bezeichnen wollen und meine Frage lautet nun, ob das nicht anders zu lösen ist und was ich bei der Konfiguration falsch gemacht oder übersehen haben könnte.
Für allfällige Tips mal vorab besten Dank
Uli
