Firewall // interner FTP Zugriff erlauben (SUSE)

Lord_Icon

Lord_Icon

Member
Hi,

verwendet OpenSuse 11.1 und vsftp.

Habe ein Script, was über eth1 (interne Leitung) täglich ein Backup rüberschiebt.

Wenn ich die Firewall ausschalte, klappt es einwandfrei.
Sobald ich die einschalte, is Feierabend.

Grund hierfür ist, das das ganze im Passiven Modus arbeiten(Default), und der Rückkanal wird von der Firewall geblockt wird.

Also... für die Internet Leitung (Externe Zone)
vi /etc/sysconfig/SuSEfirewall2

Code: 
FW_SERVICES_EXT_TCP="ftp"
FW_LOAD_MODULES="ip_conntrack_ftp"

DAS klappte dann schon mal super. Wie man sieht, ist das ganze aber für EXT.

Ergo... DACHTE ich mir.... suchste mal nach INT.
Bin teilweise auch fündig geworden.
Code: 
FW_SERVICES_INT_TCP="ftp"

Für FW_LOAD_MODULES habe ich aber nicht vergleichbares gefunden.
DACHTE mir:
Code: 
FW_SERVICES_ACCEPT_RELATED_INT="ip_conntrack_ftp"

Aber leider ist das anscheind nicht das richtige.

Weiß einer, was ich suchen müßte, damit ich vsftp auch intern nutzen kann ?
 
Hallo

Ich bin mir nicht ganz sicher, aber ich denke mal, dass bei dir das externe:eth0 und das interne eth1 ist. Für SuSE ist das aber beides extern...das unterscheidet nicht zwichen "extern lan" und "extern inet"
Du musst es irgendwie über das Interface konfigurieren.
 
hmm... also wenn das für SUSE das gleiche ist (eth0+eth1) dann würde sich deine Aussage wiedersprechen.

Weil von mein Client kann ich drauf zugreifen (mit aktiver FW).
Intern allerdings nicht. Da klappt es erst, wenn ich die FW ausschalte.

Was meinst du mit
Code: 
 Du musst es irgendwie über das Interface konfigurieren.
Über Yast? Grafisches Interface?
Wenn ja => da konnte ich ja schon die oben genannten Einstellungen nicht vornehmen.
 
Zunächst mal: Wenn Du schon passives FTP benutzt, gibt es keinen "Rückkanal", sondern beide Kanäle gehen in dieselbe Richtung. Der zweite heißt übrigens ftp-data.

Dann: einmal FW_LOAD_MODULES="ip_conntrack_ftp" reicht, das Modul braucht nur einmal geladen zu werden - es ist nicht interfacespezifisch.

Drittens: Die Zuordnung der Interfaces machst Du über FW_DEV_INT/EXT, indem Du sie dort aufzählst.

Und schlußendlich bedenke bitte, daß die SuSEfirewall kein Hexenwerk ist, sondern nur ein Script, welches vordefinierte Regeln für iptables erstellt.

Es ist nicht verboten :) sich das resultierende Regelwerk zur Fehlersuche auflisten zu lassen (iptables -L) bzw. auch zu ändern.

Soweit die allgemeinen Tips, für konkreteres braucht's mehr Input.
 
AHH.... oki. Dann hab ich hier n Denkfehler gehabt.

Zunächst mal: Wenn Du schon passives FTP benutzt, gibt es keinen "Rückkanal", sondern beide Kanäle gehen in dieselbe Richtung.
Click to expand...

damit war zwar das Problem nicht gelöst... aber hat mir eine andere Lösung aufgezeigt. Statts den Backup-Server zu konfigurieren.... konfiguriere ich halt das Backup-Script.

-p rausgenommen... und siehe da => WORKS.

Code: 
ftp -n $FTPIP <<END_FTP > log
 
You must log in or register to reply here.
Back
Top