FTP über Intranator/Firewall

[Carpeventum]

Hallo zusammen,

folgendes Problem stellt sich dar:

Seit Benutzung des Intranators können wir von externen FTP-Servern nichts herunterladen, dies liegt auch an der verwendeten Firewall zwischen Intranator und WAN, welche FTP EPSV nicht tracken kann und daher die Verbindung blockt. Kann man den Intranator auf FTP PASV konfigurieren?

Vielen Dank!

[Thomas Jarosch]

Hallo,

die Einstellung für passives FTP ist normalerweise eine Einstellung auf dem Client. Oder meinen Sie die FTP-Umsetzung des Proxies?

Herzliche Grüsse,
Thomas Jarosch

[Carpeventum]

Hallo Herr Jarosch,

es muss an der Umsetzung des Proxys liegen, denn bei Konfiguration des vorherigen Proxy-Servers können nach wie vor problemlos Daten per FTP heruntergeladen werden - an den Clients wird dann, außer der Adresse des Proxy-Servers, nichts weiter geändert bzw. es gelten die gleichen Konfigurationen im Browser. Dies stellt im Moment ein Workaround dar, der "alte" Proxy sollte allerdings unlängst abgeschaltet sein.

Vielen Dank!

[Gerd von Egidy]

Hallo,

haben Sie denn im FTP-Client den Intranator als FTP-Proxy eingetragen? Was ist wenn Sie den Browser mit eingetragenem FTP-Proxy zum Herunterladen von Dateien per FTP verwenden? Funktioniert dies?

Herzliche Grüße,

v. Egidy

[Carpeventum]

Hallo Herr v. Egidy,

ein spezieller FTP-Client wird nicht genutzt, in den Browsern (IE+Firefox) ist, wie beim Vorgänger-Proxy, der Intranator als FTP-Proxy eingetragen.

Vielen Dank!

[bjoerns]

Hallo,

ist denn in den Log-Dateien des Intranators diesbezüglich etwas zu erkennen?

MFG Björn

[Carpeventum]

Firefox:

Proxy Error
The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request GET ftp://ftp.heise.de/.
Reason: connect to 193.99.144.79:10176 failed - firewall/NAT?


/var/log/squid/access.log:

23.02.2009 13:51:31 157 TCP_MISS/502 635 GET ftp://ftp.heise.de/ - ANY_PARENT/127.0.0.1 text/html
23.02.2009 13:51:31 161 TCP_MISS/502 635 GET ftp://ftp.heise.de/ - ANY_PARENT/127.0.0.1 text/html


keine Einträge in /var/log/messages

[Thomas Jarosch]

Hallo,

23.02.2009 13:51:31 157 TCP_MISS/502 635 GET ftp://ftp.heise.de/ - ANY_PARENT/127.0.0.1 text/html
23.02.2009 13:51:31 161 TCP_MISS/502 635 GET ftp://ftp.heise.de/ - ANY_PARENT/127.0.0.1 text/html

Danke für den Logauszug. An dieser Stelle wird die Basis-Verbindung zum entfernten FTP-Server aufgebaut. Während dieser Phase der Übertragung
sollte es eigentlich keinen Unterschied machen, ob "PASV" aktiv ist oder nicht.

Sie schrieben, daß sich eine weitere Firewall vor dem Intranator befindet. Ist diese vielleicht sehr restriktiv eingestellt und blockiert vielleicht wichtige ICMP-Pakete? Oder ist vielleicht die eingehende Firewalll im Providerprofil des Intranatord zu restriktiv eingestellt?

Herzliche Grüsse,
Thomas Jarosch

[Carpeventum]

Die vorgeschaltete Firewall ist für den Intranator mit den gleichen Regeln wie für den "alten" Proxy konfiguriert, vom Hersteller gibt es hier nur die ergänzende Information, dass EPSV nicht unterstützt wird.

Ich versuche alle benötigten Informationen bezüglich der Intranator-Firewall aufzuführen, wenn noch etwas fehlt...
Interfaces: WAN und LAN-seitig (Lan mit Nat) wird standardmäßig alles per Firewallregelliste verboten und speziell für die einzelnen Netzwerk-Clients per definierten Filterlisten reglementiert. Das Provider-Profil besitzt die Standard-Filterliste "Provider mit HTTPS, VPN, SMTP". Zum Test am Client wurde eine Regelliste ohne weitere Protokollbeschränkungen verwendet.

Wird beim Betreten eines FTP-Servers nicht bereits die Directory-Informationen als Datenstrom per EPSV übertragen? Der Squid-Dienst sollte es ermöglichen, EPSV zu deaktivieren.

Vielen Dank!

[bjoerns]

Hallo,

lassen Sie sich die aktuell eingestellte Provider Regel in eine Vollständige umwandeln und ergänzen Sie die Dienste um ftp, ftp-control und ftp-data.

Wenn Sie im squid EPSV deaktivieren möchten, dann geht das leider nur "unter der Haube", solche Änderungen können nach einem Update dann verloren gehen.

MFG Björn

[Carpeventum]

Okay, Regel kopiert, umgewandelt und um den Dienst ftp mit ftp-data und ftp-control hinzugefügt, im Provider-Profil die neue Regelliste eingetragen:

01 Alle Alle Alle Accept Antwort Verbindungsstatus: Aufgebaut, Zugehörig
02 Alle Alle ident Reject Ident Dienst ablehnen
03 Alle Aktuelle Internet IP https, icmp-basis, ftp, ipsec, smtp, smtp-submission Accept Externe Dienste
04 Alle Alle Alle Accept Port Forwarding Verbindungsstatus: Port Forwarding
Alle Alle Alle Deny

squid:
03.03.2009 15:55:12 172 192.x.x.x TCP_MISS/502 635 GET ftp://ftp.heise.de/ - ANY_PARENT/127.0.0.1 text/html

IE:
Proxy Error
The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request GET ftp://ftp.heise.de/.

Reason: connect to 193.99.144.79:18052 failed - firewall/NAT?

[Thomas Jarosch]

Hallo,

auch in diesem Fall blockiert wohl die vorgeschaltete Firewall. Bitte stellen Sie die Firewall-Regelliste des Providers wieder zurück.

Ich habe die Konfigurationsmöglichkeiten des Proxies genauestens untersucht, man könnte testweise auf aktives FTP umschalten, EPSV lässt sich leider nicht deaktivieren.

Bitte gehen Sie wie folgt vor:

Code:

- Loggen Sie sich als root ein
- Öffnen Sie die Datei /etc/squid/squid.conf.template
  Als Editor steht "nano" oder der Midnight Commander "mc" bereit.
- Fügen Sie am Anfang der Datei die Zeile
  "ftp_passive off" ein.
- /etc/rc.d/init.d/squid restart

Die squid.conf.template wird u.a. bei der nächsten Aktualisierung der Rechner wieder überschrieben, Sie sollten also zügig testen

Herzliche Grüsse,
Thomas Jarosch