[Eisfair] PureFTP Zugriffs-Problem - gelöst

[Dirk Alberti]

Hallo Christoph,

Am 05.04.2016 um 12:55 schrieb Christoph Schulz:
> Hallo!
>
> Dirk Alberti schrieb:
>
>
> Der erste Fehler ist, eine nicht mehr unterstützte fli4l-Version zu
> verwenden. Aktuell ist 3.10.5. Die 3.10.2 ist vom 26.4.2015 (siehe
> http://www.fli4l.de/home/news/artikel/502/), somit ist die 3.10.1 seit knapp
> einem Jahr veraltet.

Ich weiß, aber immer bei einem Update die ganzen Config-Dateien 
umbasteln zu müssen, ist halt nicht das wahre.  Ich bin mir auch noch 
nicht so schlüssig, ob ich nicht doch gleich die 4.0 versuche.

> (Sorry, das muss ich als jemand vom fli4l-Team einfach sagen.)

Ja nee, is klar... ;-)

>
> Nun zum zweiten Fehler. Ich habe folgende Anmerkungen:
>
>> PF_PREROUTING_15='prot:tcp 192.168.2.2:20 DNAT:192.168.1.5:20'   ###
>> Testweise
> Das kannst du vergessen, die Datenverbindung wird meistens sowieso auf einen
> anderen Port verschoben. Durch Conntracking im Linux-Kernel wird das aber
> trotzdem der Kontroll-Verbindung korrekt zugeordnet. Eigentlich... siehe
> unten für Details!

Naja, ich hatte bei meiner Fehlersuche eben sowas gefunden, von wegen 
Port 21 zur "Kontaktaufnahme", Port 20 für den Datentransfer, drum hatte 
ich das tesweise mit reingenommen.

>> PF_PREROUTING_CT_N='1'
>> PF_PREROUTING_CT_1='tmpl:ftp IP_NET_1 HELPER:ftp'
> Hier sagst du nur, dass der FTP-Conntrack-Helfer für Verbindungen aus
> IP_NET_1 aktiviert wird. Du brauchst das aber doch für die andere Richtung,
> von IP_NET_2 her. Es geht immer um die Richtung, in der die Verbindung
> *aufgebaut* wird, in deinem Falle also doch von "draußen" (= dem Internet)
> an die Adresse in IP_NET_2. Probier mal:
>
>    PF_PREROUTING_CT_N='2'
>    [...]
>    PF_PREROUTING_CT_2='tmpl:ftp any IP_NET_2 HELPER:ftp'
>
> Damit untersucht Conntrack FTP-Verbindungen von überall nach IP_NET_2 mit
> Zielport 21 (tmpl:ftp).


Ok, ich habe es eingefügt und siehste wohl, genau das war das Problem!  
:-D    Jetzt geht der Zugriff auch von außen mit dem Firefox.

> Die erste Conntrack-Regel solltest du für *ausgehende* FTP-Verbindungen aus
> deinem LAN ins Internet belassen (falls du vor hast, ausgehendes *aktives*
> FTP zu verwenden -- für ausgehendes *passives* FTP kann diese Regel
> entfallen).

> Übrigens sind *eigentlich* viele FTP-Conntrack-Anwendungsfälle in der fli4l-
> Dokumentation des base-Pakets in Abschnitt 3.10.8 (letzte Nummer entstammt
> der aktuellen 3.10/trunk-Dokumentation, in fli4l 3.10.1 könnte diese leicht
> anders aussehen) einigermaßen ausführlich dokumentiert. Vielleicht solltest
> du dir diesen Abschnitt nochmal zu Gemüte führen?

Ja, das hab ich heute grad getan, auf der Fähre nach Finnland hat man ja 
reichlich Zeit dafür  ;-)
Es scheint mir auch so, dass ich wahrscheinlich einiges von meinen 
Port-FW-Regeln durch Verwendung von Templates vereinfachen könnte. Aber 
dafür muss ich mir wohl noch bissl mehr Zeit nehmen.

>
> Viele Grüße,

Grüße und vielen Dank, dass Du Dir die Sache angeschaut hast, denn 
eigentlich ist Fli4l ja hier ein kleines bissl OT  ;-)

Dirk