NAT + ftp passive mode - Netwerken

donderdag 20 februari 2003 14:41

Acties:

0 Henk 'm!

Anoniem: 76208

Topicstarter

ik heb een speedtouch 510 adsl routermodem
en een ftp server op poortje 21
heb de poort gemapt emt NAt enzo
hij doet het goed
alleen ik kan geen passive mode gebruiken
das heel irri want dan kan ik soms niet FXPen
nou vertelde iemand mij dan passive mode andere (hoge) poorten gebruikt

iemand enig idee hoe dit in zn werking gaat en of
hoe het op te lossen

donderdag 20 februari 2003 15:02

Acties:

0 Henk 'm!

NoBody

www.gentoo.org

als het goed is kan je een port-range in je FTP-server opgeven die gebruikt moeten worden voor PASV, forward deze range vanaf je router en het zou moeten werken

Bij mij wel iig

btw wat meer specs zouden geen kwaad kunnen, naam ftp-server e.d.

Hoi

donderdag 20 februari 2003 15:05

Acties:

0 Henk 'm!

Anoniem: 22690

Dit is hoogstwaarschijnlijk niet op te lossen omdat met pasive ftp de server een verbinding terug maakt naar jouw machine. Helaas kan jouw router niet in zijn glazen bol kijken waar deze verbinding heen moet omdat deze niet in een NAT tabel voorkomt. Sommige routers hebben hier connection tracking voor maar ik geef jouw een hele hele kleine kans dat jouw router dit ooit gaat ondersteunen.

donderdag 20 februari 2003 15:06

Acties:

0 Henk 'm!

Anoniem: 76208

Topicstarter

PureFTPD op gentoo
speedtouch 510i met poort 21 al gemapt

donderdag 20 februari 2003 15:17

Acties:

0 Henk 'm!

RupS

Zoals NoBody al zegt, je moet tevens je data poort mappen en in PureFTPD aangeven welke poort dat is...

In PureFTPD kan je met de volgende vlag aangeven welke poorten dit moeten zijn... Map deze vervolgens ook door in je router en het zou moeten werken ....
-p --passiveportrange <minport:maxport>

Met
-P --forcepassiveip <ip address>
Zou je kunnen aangeven naar welk ip-adres er moeten worden gestuurd, zodat als iemand bijvoorbeeld een list doet, alle pakketjes ook weer terugkomen

donderdag 20 februari 2003 15:20

Acties:

0 Henk 'm!

Anoniem: 76208

Topicstarter

ok dit begrijp ik
is er ook nog een minimaal aantal poorten benodigt ? en of maxi

donderdag 20 februari 2003 15:28

Acties:

0 Henk 'm!

RupS

Dat ligt er helemaal aan hoeveel simultane connecties je wilt ondersteunen....

Als je een heel verhaal hierover wilt lezen, kan ik je dit stuk aanraden ...

donderdag 20 februari 2003 15:34

Acties:

0 Henk 'm!

Anoniem: 76208

Topicstarter

ThaRups schreef op 20 February 2003 @ 15:17:

-P --forcepassiveip <ip address>
Zou je kunnen aangeven naar welk ip-adres er moeten worden gestuurd, zodat als iemand bijvoorbeeld een list doet, alle pakketjes ook weer terugkomen

dat is dus het ip van de ftpserver ?

donderdag 20 februari 2003 15:48

Acties:

0 Henk 'm!

Anoniem: 28911

de datapoort voor ftp is normaliter 22

donderdag 20 februari 2003 15:50

Acties:

0 Henk 'm!

RupS

- '-P <ip address or host name>': Force the specified IP address in reply to
a PASV/EPSV/SPSV command. If the server is behind a masquerading (NAT) box
that doesn't properly handle stateful FTP masquerading, put the ip address
of that box here. If you have a dynamic IP address, you can put the public
host name of your gateway, that will be resolved every time a new client will
connect.

Het ip adres van de router dus

In het pakketje wordt dan een return ip meegestuurd zodat de client weet waar het naartoe terug moet sturen...

Als je dit niet meegeeft, en je eigenlijke FTP server (10.0.0.1 bijv.) zit dus achter een NAT machine, dan ontvangt de client dat 10.x.x.x adres, wat niet routeerbaar is, waardoor het pakketje niet meer bij je server aankomt...
Dit is echter alleen nodig als je router dit niet uitzichzelf doet....

Sorry voor de kromme uitleg

Anoniem: 28911 schreef op 20 February 2003 @ 15:48:
de datapoort voor ftp is normaliter 22

Bijna, de data poort is 20...

[ Voor 23% gewijzigd door RupS op 20-02-2003 15:53 ]

donderdag 20 februari 2003 15:53

Acties:

0 Henk 'm!

Anoniem: 76208

Topicstarter

ah ok dus te doen

-op router wat poortjes mappen
-pureftpd zo starten : pureftpd -p --passiveportrange <minport:maxport> -P --forcepassiveip <ip address>

donderdag 20 februari 2003 15:54

Acties:

0 Henk 'm!

JF_

Anoniem: 28911 schreef op 20 februari 2003 @ 15:48:
de datapoort voor ftp is normaliter 22

Bijna goed... 22 is ssh. FTP-data zit 1 port onder FTP-control, op 20 dus.

donderdag 20 februari 2003 15:55

Acties:

0 Henk 'm!

Anoniem: 76208

Topicstarter

JF_ schreef op 20 February 2003 @ 15:54:
[...]

Bijna goed... 22 is ssh. FTP-data zit 1 port onder FTP-control, op 20 dus.

hoe kan ftp dan werken als ik die port niet gemapt heb

donderdag 20 februari 2003 15:56

Acties:

0 Henk 'm!

RupS

Anoniem: 76208 schreef op 20 February 2003 @ 15:53:
ah ok dus te doen

-op router wat poortjes mappen
-pureftpd zo starten : pureftpd -p --passiveportrange <minport:maxport> -P --forcepassiveip <ip address>

www.pureftpd.org

--forcepassiveip == -p ... tis gewoon een korte naam

donderdag 20 februari 2003 16:00

Acties:

0 Henk 'm!

Anoniem: 22690

Anoniem: 76208 schreef op 20 February 2003 @ 15:55:
[...]

hoe kan ftp dan werken als ik die port niet gemapt heb

Alleen active FTP werkt op poort 20 toch passive op een poort boven de 1024

donderdag 20 februari 2003 18:30

Acties:

0 Henk 'm!

Anoniem: 76208

Topicstarter

ik run pure zo

code:

#!/bin/bash
tcpserver -DHRl0 0 21 /usr/local/sbin/pure-ftpd -p 1024:1025 -P
80.126.121.71 -A -l mysql:/etc/pureftpd-mysql.conf -O
stats:/var/log/pureftpd.log -c 3 -C 1 -I 10 -k 95 -K -w &

maar ik krijg dan de errors

code:

1 2	/usr/local/sbin/pure-ftpd: option requires an argument -- P /usr/local/sbin/pure-ftpd: option requires an argument -- P

vrijdag 21 februari 2003 01:05

Acties:

0 Henk 'm!

raymonvdm

Ik gebruik een ftp server onder windows NEE NIET IIS

En daarbij kan ik opgeven wat z`n real external ip is. Daar heb ik netjes m`n externe adres ingeklopt en ik kan passive ftpen zonder portmaps

Omdat je bij passive ftp connect naar 21 en de server dan terug connect vanaf 1024 het is dus een outbound poort en hoef je niet te mappen.

Dat is tenminsten mijn verklaring.

vrijdag 21 februari 2003 10:35

Acties:

0 Henk 'm!

Anoniem: 22690

raymonvdm schreef op 21 February 2003 @ 01:05:
Ik gebruik een ftp server onder windows NEE NIET IIS

En daarbij kan ik opgeven wat z`n real external ip is. Daar heb ik netjes m`n externe adres ingeklopt en ik kan passive ftpen zonder portmaps

Omdat je bij passive ftp connect naar 21 en de server dan terug connect vanaf 1024 het is dus een outbound poort en hoef je niet te mappen.

Dat is tenminsten mijn verklaring.

Helemaal mee eens !!! alleen poort 21 ( ftp-command ) hoeft dus doorgemapt te worden. en je ftp data connect terug naar de client! Dit geeft alleen problemen bij mensen die dus achter een router/firewall zitten

vrijdag 21 februari 2003 10:47

Acties:

0 Henk 'm!

Anoniem: 76208

Topicstarter

Anoniem: 22690 schreef op 21 February 2003 @ 10:35:
[...]

Helemaal mee eens !!! alleen poort 21 ( ftp-command ) hoeft dus doorgemapt te worden. en je ftp data connect terug naar de client! Dit geeft alleen problemen bij mensen die dus achter een router/firewall zitten

ja en daar gaat dit hele topic dus over
ik heb nu mn poorten zo gemapt

80.xs4allip : 21 > 10.0.0.155 :21
80.xs4allip : 1024 > 10.0.0.155 :1024
80.xs4allip : 1025 > 10.0.0.155 :1025

en gestart zoals erboven staat maar die error blijft
(het is nu meer een pureftpd vraag)

vrijdag 21 februari 2003 14:28

Acties:

0 Henk 'm!

Anoniem: 57365

Anoniem: 22690 schreef op 20 February 2003 @ 15:05:
Dit is hoogstwaarschijnlijk niet op te lossen omdat met pasive ftp de server een verbinding terug maakt naar jouw machine. Helaas kan jouw router niet in zijn glazen bol kijken waar deze verbinding heen moet omdat deze niet in een NAT tabel voorkomt. Sommige routers hebben hier connection tracking voor maar ik geef jouw een hele hele kleine kans dat jouw router dit ooit gaat ondersteunen.

juist andersom...

met passive ftp maak je connectie naar port 21 (default dan) en de ftp server maakt een dataconnectie naar port 20 van de client. aangezien dit problemen gaf met firewalls is passive ftp ontwikkelt.
nu maakt je client connectie naar port 21 en vraagt aan de server wat het datakanaal gaat worden. zodra die een port doorkrijgt (>1024) dan wordt er vanuit de client naar de ftp server het datakanaal opgezet.

als ook de ftpserver achter een fw zit gaat geen van beide mogelijkheden werken (vaak kan je echter wel een portrange op de ftpserver definieren voor passive ftp en deze porten zal je dan moeten forwarden)

vrijdag 21 februari 2003 14:54

Acties:

0 Henk 'm!

Anoniem: 22690

Anoniem: 57365 schreef op 21 February 2003 @ 14:28:
[...]

juist andersom...

met passive ftp maak je connectie naar port 21 (default dan) en de ftp server maakt een dataconnectie naar port 20 van de client. aangezien dit problemen gaf met firewalls is passive ftp ontwikkelt.
nu maakt je client connectie naar port 21 en vraagt aan de server wat het datakanaal gaat worden. zodra die een port doorkrijgt (>1024) dan wordt er vanuit de client naar de ftp server het datakanaal opgezet.

als ook de ftpserver achter een fw zit gaat geen van beide mogelijkheden werken (vaak kan je echter wel een portrange op de ftpserver definieren voor passive ftp en deze porten zal je dan moeten forwarden)

* Anoniem: 22690 is harrewar ->

<-

zaterdag 22 februari 2003 03:40

Acties:

0 Henk 'm!

NoBody

www.gentoo.org

Het aantal poorten dat gebruikt dient te worden, is volgens Serv-U hooguit 15 (ik gebruik tegenwoordig GuildFTPd, maar dat weet ik dan iig wel

).

Daarom heb ik de opstelling zo:

Op m'n Windows-bak draait GuildFTPd, de FTP is ingesteld op poort 5555 (poort 5554 zou dus de data-poort moeten zijn dan), de PASV range heb ik ingesteld op 3000-3015.
De genoemde poort en range zijn geforward op m'n freescobak.
Vervolgens moet je ook nog een IP-adres opgeven voor PASV, vul hier je internet-IP in en dan zou alles moeten werken

Hoi