[fli4l] ftp und weitere Fragen nach DHCP-Umstellung

Peter Schiefer newsgroup at lan4me.de
Di Jan 3 18:08:24 CET 2017


Hallo Martin, 

ich schon wieder ;)

Am Tue, 03 Jan 2017 11:40:47 +0100 schrieb Martin:

> oben hatte ich einige Fragen gestellt und bereits auch einige gute Tipps
> erhalten - Danke!

so soll es sein ;)
 
> Zum wichtigsten Punkt ist aber noch nicht gekommen:
>   1) Zugriff auf aktive ftp-Server
>   Es ist nicht mehr möglich auf ftp-Server im Aktiv-mode zuzugreifen.
> Vermutlich muss ich da was in der Friewall ändern. Aktuell habe ich
> diese Einstellung in base.txt:
>   PF_PREROUTING_CT_ACCEPT_DEF='yes'
>   PF_PREROUTING_CT_N='1'
>   PF_PREROUTING_CT_1='tmpl:ftp IP_NET_1 HELPER:ftp'
>   PF_PREROUTING_CT_2='tmpl:ftp any dynamic HELPER:ftp'
>   PF_OUTPUT_CT_ACCEPT_DEF='yes'
>   Mein ftp-Client ist in IP_NET_1, der Provider an IP_NET_3
> angeschlossen.

genau die gleichen Einstellungen habe ich hier auch und kann von einem
Client mit z.B. FileZilla mit Activem FTP auf FTP-Server zugreifen.
 
> Kann mir auch da jemand helfen?

ich hoffe doch :)

> Soweit ich weiß bracht man für aktives ftp eine spezielle Regel wegen
> des Rückkanals auf Post 20.
> PF_PREROUTING_CT_1 könnte so was sein. Aber nach der
> DSL-DHCP-Umstellung geht aktives ftp nicht mehr.

genau dafür iszt der HELPER um für den Datenport 20 den Weg zu dir zu
öffnen, vom Prizip her, erkent der Helper die Source-IP die dein Client in
den Control-Paketen liefert und ersetzt diese mit der WAN-IP deines Routers
und erzeugt ein dynamisches Portfw für Port 20 zu dem Client.

Was intresant wäre - was für eine IP erhält den dein fli4l am
WAN-Interface, ist diese ein öffentliche IP oder eine aus einem Bereich
gfür private Nutzung? (sollte es eine aus dem privaten Bereich sein, schein
dein fli4l widerum hinter einem anderem Router zu hängen der auch maskiert
und dadurch der Port20 Datenkanal nicht bei Dir ankommt.

> Vielleicht muss ich PF_PREROUTING_CT_2 freischalten. Aber ohne zu wissen
> was ich mache will ich das nicht tun.

das sollte nicht nötig sein.

Gruß Peter


Mehr Informationen über die Mailingliste Fli4L