[fli4l] ftp und weitere Fragen nach DHCP-Umstellung

[Christoph Schulz]

Hallo!

Martin schrieb:

> Zum wichtigsten Punkt ist aber noch nicht gekommen:
>   1) Zugriff auf aktive ftp-Server
>   Es ist nicht mehr möglich auf ftp-Server im Aktiv-mode zuzugreifen.
> Vermutlich muss ich da was in der Friewall ändern. Aktuell habe ich
> diese Einstellung in base.txt:
>   PF_PREROUTING_CT_ACCEPT_DEF='yes'
>   PF_PREROUTING_CT_N='1'

Da du zwei CT-Regeln hast, probiere bitte:

PF_PREROUTING_CT_N='2'

>   PF_PREROUTING_CT_1='tmpl:ftp IP_NET_1 HELPER:ftp'
>   PF_PREROUTING_CT_2='tmpl:ftp any dynamic HELPER:ftp'

Diese zweite Regel wird nämlich sonst ignoriert.

>   PF_OUTPUT_CT_ACCEPT_DEF='yes'
>   Mein ftp-Client ist in IP_NET_1, der Provider an IP_NET_3
> angeschlossen.

Hmmm, wird in deinem DHCP-Fall /var/run/dynamic.ip denn gesetzt?

Zeige bitte ansonsten deine restliche Netz/Firewall-Konfiguration, und 
zusätzlich die Ausgabe von

  iptables -t raw -vnL
  iptables -t nat -vnL PREROUTING
  iptables -t nat -vnL PORTFW

> Vielleicht muss ich PF_PREROUTING_CT_2 freischalten. Aber ohne zu wissen
> was ich mache will ich das nicht tun.

Siehe oben -- die zweite Regel funktioniert nur dann, wenn nach der 
DHCP-"Einwahl" die Datei /var/run/dynamic.ip existiert und die gültige 
Router-IP enthält. "Kaputt machen" kannst du mit der zweiten Regel aber 
nichts, im Zweifelsfall wird die Regel einfach ignoriert.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]