---

Hejsa.

Jeg har et ftp problem. Hvis jeg forsøger at ftp til ftp.globalscape.com,
så må jeg godt det. Jeg han også godt logge ind som anonymous. Men lige så
snart jeg skriver ls, så går det hele istå.

Hvis jeg så forsøger at ftp til ftp.redhat.com så er der ingen problemer
overhovedet. Der er heller ingen problemer, med den client der er bag
firewallen. Er der nogen forslag til hvad det kan være?

Min ipchains ser sådan her ud :

:input DENY
:forward DENY
:output ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 192.168.0.0/255.255.255.0 -i eth0 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 53:53 -d 0.0.0.0/0.0.0.0 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 80:80 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 443:443 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 21:21 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 20:20 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 5:5 -d 0.0.0.0/0.0.0.0 -p 1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 13:13 -d 0.0.0.0/0.0.0.0 -p 1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 17:17 -d 0.0.0.0/0.0.0.0 -p 1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 119:119 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 143:143 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 25:25 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 993:993 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -p 6 -j ACCEPT ! -y
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j
MASQ
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j
MASQ
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j
MASQ
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 119:119 -p 6 -j
MASQ
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j MASQ
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j
MASQ
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6 -j
MASQ
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 143:143 -p 6 -j
MASQ
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j
MASQ
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 993:993 -p 6 -j
MASQ

Mit os er debian woody.

--
Mvh
Heine Laursen

---

On 01 Oct 2002 13:23:45 GMT, Heine Laursen <gozar@myrealbox.com> wrote:
> Hejsa.
>
> Jeg har et ftp problem. Hvis jeg forsøger at ftp til ftp.globalscape.com,
> så må jeg godt det. Jeg han også godt logge ind som anonymous. Men lige så
> snart jeg skriver ls, så går det hele istå.
>
> Hvis jeg så forsøger at ftp til ftp.redhat.com så er der ingen problemer
> overhovedet. Der er heller ingen problemer, med den client der er bag
> firewallen. Er der nogen forslag til hvad det kan være?

Ja, læs om passive ftp versus ``normal ftp'', så vil du forstå hvorfor.

--
Jesper

---

jlouis@pc-063.diku.dk (Jesper Louis Andersen) wrote in
news:slrnapj8ib.2cj.jlouis@pc-063.diku.dk:

> Ja, læs om passive ftp versus ``normal ftp'', så vil du forstå
> hvorfor.

kan serveren bestemme om det skal være passive eller aktive?
Jeg troede det kun er klienten der kan bestemme det.

--
Mvh
Heine Laursen

---

On 01 Oct 2002 13:29:18 GMT, Heine Laursen <gozar@myrealbox.com> wrote:
> jlouis@pc-063.diku.dk (Jesper Louis Andersen) wrote in
> news:slrnapj8ib.2cj.jlouis@pc-063.diku.dk:
>
>> Ja, læs om passive ftp versus ``normal ftp'', så vil du forstå
>> hvorfor.
>
> kan serveren bestemme om det skal være passive eller aktive?
> Jeg troede det kun er klienten der kan bestemme det.

Det kan den ikke. Men det er fordi at reglerne ikke tillader data-porten
i ftp at komme igennem (ihvertfald mit gæt). Hvis han sætter sin klient
til at være passive og det går godt, så ved han hvad der er galt. FTP
_er_ en borked protokol og har altid været det.

--
Jesper

---

jlouis@pc-063.diku.dk (Jesper Louis Andersen) writes:

> til at være passive og det går godt, så ved han hvad der er galt. FTP
> _er_ en borked protokol og har altid været det.

Næh. Den er bare lavet inden brandmure blev almindelige.

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk - Unix, Java, Web, Netværk, Århus

---

jlouis@pc-063.diku.dk (Jesper Louis Andersen) wrote in
news:slrnapj92s.7be.jlouis@pc-063.diku.dk:

> On 01 Oct 2002 13:29:18 GMT, Heine Laursen <gozar@myrealbox.com> wrote:
>> jlouis@pc-063.diku.dk (Jesper Louis Andersen) wrote in
>> news:slrnapj8ib.2cj.jlouis@pc-063.diku.dk:
>>
>>> Ja, læs om passive ftp versus ``normal ftp'', så vil du forstå
>>> hvorfor.
>>
>> kan serveren bestemme om det skal være passive eller aktive?
>> Jeg troede det kun er klienten der kan bestemme det.
>
> Det kan den ikke. Men det er fordi at reglerne ikke tillader data-porten
> i ftp at komme igennem (ihvertfald mit gæt). Hvis han sætter sin klient
> til at være passive og det går godt, så ved han hvad der er galt. FTP
> _er_ en borked protokol og har altid været det.

Det forstår jeg ikke! Jeg bruger samme regler som postet før, men både
active og passive virker fint på ftp.redhat.com

Kan jeg så komme med den konklution, at det ikke er min ipchains der er
noget ivejen med, men det er ftp.globalscape.com?

ftp> open ftp.redhat.com
Connected to ftp.redhat.com.
220 Red Hat FTP server ready. All transfers are logged.
Name (ftp.redhat.com:heine): anonymous
331 Please specify the password.
Password:
230 Login successful. Have fun.
ls
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x 5 0 0 4096 Jun 09 04:20 pub
226 Directory send OK.
ftp> pasive
?Invalid command
ftp> passive
Passive mode on.
ftp> ls
227 Entering Passive Mode (66,77,185,35,43,239)
150 Here comes the directory listing.
drwxr-xr-x 5 0 0 4096 Jun 09 04:20 pub
226 Directory send OK.
ftp>

--
Mvh
Heine Laursen

---

On 01 Oct 2002 13:45:57 GMT, Heine Laursen <gozar@myrealbox.com> wrote:
> Det forstår jeg ikke! Jeg bruger samme regler som postet før, men både
> active og passive virker fint på ftp.redhat.com
>
> Kan jeg så komme med den konklution, at det ikke er min ipchains der er
> noget ivejen med, men det er ftp.globalscape.com?
>

Prøv at sætte den til at være passive i din klient. Hvis det virker, så
har du en godt bud.

--
Jesper

---

jlouis@pc-063.diku.dk (Jesper Louis Andersen) wrote in
news:slrnapjbgp.872.jlouis@pc-063.diku.dk:

> Prøv at sætte den til at være passive i din klient. Hvis det virker, så
> har du en godt bud.

Jeg kan godt ftp til den når jeg sætter den til passive.


--
Mvh
Heine Laursen

---

Heine Laursen <gozar@myrealbox.com> wrote in
news:Xns929A9C98D7A0Cgozarmyrealboxcom@193.88.15.213:

> Hejsa.
>
> Jeg har et ftp problem. Hvis jeg forsøger at ftp til
> ftp.globalscape.com, så må jeg godt det. Jeg han også godt logge ind
> som anonymous. Men lige så snart jeg skriver ls, så går det hele istå.
>
> Hvis jeg så forsøger at ftp til ftp.redhat.com så er der ingen
> problemer overhovedet. Der er heller ingen problemer, med den client
> der er bag firewallen. Er der nogen forslag til hvad det kan være?
>
> Min ipchains ser sådan her ud :
>
>:input DENY
>:forward DENY
>:output ACCEPT
> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j ACCEPT
> -A input -s 0.0.0.0/0.0.0.0 -d 192.168.0.0/255.255.255.0 -i eth0 -j
> REJECT -A input -s 0.0.0.0/0.0.0.0 53:53 -d 0.0.0.0/0.0.0.0 -p 17 -j
> ACCEPT -A input -s 0.0.0.0/0.0.0.0 80:80 -d 0.0.0.0/0.0.0.0 -p 6 -j
> ACCEPT -A input -s 0.0.0.0/0.0.0.0 443:443 -d 0.0.0.0/0.0.0.0 -p 6 -j
> ACCEPT -A input -s 0.0.0.0/0.0.0.0 21:21 -d 0.0.0.0/0.0.0.0 -p 6 -j
> ACCEPT -A input -s 0.0.0.0/0.0.0.0 20:20 -d 0.0.0.0/0.0.0.0 -p 6 -j
> ACCEPT -A input -s 0.0.0.0/0.0.0.0 5:5 -d 0.0.0.0/0.0.0.0 -p 1 -j DENY
> -A input -s 0.0.0.0/0.0.0.0 13:13 -d 0.0.0.0/0.0.0.0 -p 1 -j DENY
> -A input -s 0.0.0.0/0.0.0.0 17:17 -d 0.0.0.0/0.0.0.0 -p 1 -j DENY
> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
> -A input -s 0.0.0.0/0.0.0.0 119:119 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT
> -A input -s 0.0.0.0/0.0.0.0 143:143 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
> -A input -s 0.0.0.0/0.0.0.0 25:25 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
> -A input -s 0.0.0.0/0.0.0.0 993:993 -d 0.0.0.0/0.0.0.0 -p 6 -j ACCEPT
> -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -p 6 -j ACCEPT
> ! -y -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 53:53
> -p 17 -j MASQ
> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6
> -j MASQ
> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 443:443 -p
> 6 -j MASQ
> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 119:119 -p
> 6 -j MASQ
> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -p 1 -j
> MASQ -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 21:21
> -p 6 -j MASQ
> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 20:20 -p 6
> -j MASQ
> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 143:143 -p
> 6 -j MASQ
> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6
> -j MASQ
> -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 993:993 -p
> 6 -j MASQ
>
> Mit os er debian woody.

Hovsa. Det gik hvist lidt for stærkt.

internettet er eth0 og lokal nettet er eth1

--
Mvh
Heine Laursen