[Eisfair] PureFTP Zugriffs-Problem

Christoph Schulz fli4l at kristov.de
Di Apr 5 11:55:53 CEST 2016 

Hallo!

Dirk Alberti schrieb:

> um vielleicht mal den Fli4l ausschließen zu können...?
> 
> Mein Fli4l ist ein 3.10.1
> [...]
> Könnte da irgendwo ein Fehler liegen?

Der erste Fehler ist, eine nicht mehr unterstützte fli4l-Version zu 
verwenden. Aktuell ist 3.10.5. Die 3.10.2 ist vom 26.4.2015 (siehe 
http://www.fli4l.de/home/news/artikel/502/), somit ist die 3.10.1 seit knapp 
einem Jahr veraltet.

(Sorry, das muss ich als jemand vom fli4l-Team einfach sagen.)

Nun zum zweiten Fehler. Ich habe folgende Anmerkungen:

> PF_PREROUTING_15='prot:tcp 192.168.2.2:20 DNAT:192.168.1.5:20'   ### 
> Testweise

Das kannst du vergessen, die Datenverbindung wird meistens sowieso auf einen 
anderen Port verschoben. Durch Conntracking im Linux-Kernel wird das aber 
trotzdem der Kontroll-Verbindung korrekt zugeordnet. Eigentlich... siehe 
unten für Details!

> PF_PREROUTING_CT_N='1'
> PF_PREROUTING_CT_1='tmpl:ftp IP_NET_1 HELPER:ftp'

Hier sagst du nur, dass der FTP-Conntrack-Helfer für Verbindungen aus 
IP_NET_1 aktiviert wird. Du brauchst das aber doch für die andere Richtung, 
von IP_NET_2 her. Es geht immer um die Richtung, in der die Verbindung 
*aufgebaut* wird, in deinem Falle also doch von "draußen" (= dem Internet) 
an die Adresse in IP_NET_2. Probier mal:

  PF_PREROUTING_CT_N='2'
  [...]
  PF_PREROUTING_CT_2='tmpl:ftp any IP_NET_2 HELPER:ftp'

Damit untersucht Conntrack FTP-Verbindungen von überall nach IP_NET_2 mit 
Zielport 21 (tmpl:ftp).

Die erste Conntrack-Regel solltest du für *ausgehende* FTP-Verbindungen aus 
deinem LAN ins Internet belassen (falls du vor hast, ausgehendes *aktives* 
FTP zu verwenden -- für ausgehendes *passives* FTP kann diese Regel 
entfallen).

Übrigens sind *eigentlich* viele FTP-Conntrack-Anwendungsfälle in der fli4l-
Dokumentation des base-Pakets in Abschnitt 3.10.8 (letzte Nummer entstammt 
der aktuellen 3.10/trunk-Dokumentation, in fli4l 3.10.1 könnte diese leicht 
anders aussehen) einigermaßen ausführlich dokumentiert. Vielleicht solltest 
du dir diesen Abschnitt nochmal zu Gemüte führen?


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Eisfair