Firewall - Squid und ftp

Marcel · Beitrag von **Marcel** » 22.03.2004 19:07:38

Hallo Forumsmitglieder,

ich hätte da mal wieder eine Frage.
Ich habe eine Firewall aufgesetzt, wo ich im Prinzip ersteinmal alles verbiete. Un genau darin liegt dann halt auch mein Problem.
Ich betreibe hinter dieser Firewall Squid, über den die Clients in Netz gehen sollen. Für den Zugriff auf http Seiten haben ich die Firewall schon aufbekommen. Was ich allerdings nicht hin bekomme, ist das öffnen für ftp. Schalte ich die Firewall (auf iptables basierend) ab, kann ich via Web-Browser (bei dem für alles http, https, ftp der Proxie angegeben ist) auf ftp-Seiten zugreifen. Sobald ich meine Firewall aktiviere, kann ich nicht mehr auf ftp-Seiten zugreifen.
Kann mir jemand sagen, mit welchen Regeln ich den Zugriff auf ftp-Seiten via Squid erlauben kann.
Ich hatte schon versucht port 21, das hat aber nichts gebracht.

Marcel

Hendri · Beitrag von **Hendri** » 23.03.2004 17:07:35

Hallo,
hast du alle Kernelmodule geladen für aktives FTP?
Ansonsten mußt du Squid zum passiven FTP connect configurieren!

FTP Module: ip_conntrack_ftp & ip_nat_ftp

Ciao, Hendri

xhacker · Beitrag von **xhacker** » 29.03.2004 03:30:29

Hi,

Squid macht meines Wissens nur passives FTP.
Die eine Variante ist, die Firewall Regeln zu modifizieren. Fuer passives FTP muss der Squid Rechner alles Ports oberhalb von 1024: ansprechen duerfen. Auf diesen Ports muss der Squid connecten duerfen. Entsprechend muessen alle Antworten auf diesen Ports wieder an den Squid Rechner erlaubt werden.
Da dabei ziemlich viele Ports fuer den Squid Proxy offen sein muessen, waere aus meiner Sicht noch ne etwas nettere Loesung moeglich. Es gibt einen gut konfigurierbaren FTP Proxy (jftpgw), der die fuer aktives oder passives FTP benoetigten Ports auf einige beschraenken kann (genauer: man stellt das in der Config ein). Ausserdem kann dieser nur bestimmte Rechner durchlassen. Und zusaetzlich kann er als transparenter Proxy laufen.

Mit einer recht kurzen Config und wenigen IPTables Befehlen solltest Du damit Dein Problem in den Griff kriegen. Der jftpgw wuerde dann nur den Squid Rechner per FTP durchlassen.

Ich hoffe, ich habe Dich jetzt nicht komplett verwirrt.

HTH

Sven

Hendri · Beitrag von **Hendri** » 29.03.2004 14:03:37

In der squid.conf hat man die Auswahl mit ftp_passive on/off ob er aktiv oder passive ftp Verbindungen machen soll.
Default ist "ftp_passive on" da hast du Recht.

Ciao, Hendri

Ps: Wie kann es funktionieren wenn du die Firewall Regeln löscht (herunterfährst) benutzt du kein NAT / MASQUERADE?

xhacker · Beitrag von **xhacker** » 29.03.2004 19:57:06

Hi,

wie meinst Du das?

Fuer nen transparenten Proxy brauchst Du jedenfalls IPTables Regeln.

NAT/Masquerading benutze ich.

Und problematisch sollten die Regeln auch nicht sein. Deswegen wuerde ich ja den jftpgw nehmen, weil Du dann den Portbereich fuer passives FTP einschraenken kannst.

HTH

Sven

Hendri · Beitrag von **Hendri** » 29.03.2004 23:03:59

@xhacker:
Sorry, meinte eigentlich Marcel mit dem "PS"

[EDIT] gearde gesehen: FTP usw. erklärt das Problem auch (halt in die andere Richtung)... [/EDIT]

Ciao, Hendri