FTP-Server hinter anderem Rechner

Weissbierwaldi

Neuer User
Mitglied seit
17 Jul 2008
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo Leute ...

habe da gerade ein kleines Problem.
Ich habe auf meinem Server OpenVZ laufen. Nun wollte ich an eine VE FTP durchreichen per Iptables.
Da Problem ist, dass das ganze nicht so will wie es sollte...

Iptables NAT-Regeln:
Code:
server:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             server.ovh.net     tcp dpt:www to:10.1.0.1:80
DNAT       tcp  --  anywhere             server.ovh.net     tcp dpt:smtp to:192.168.60.129:25
DNAT       tcp  --  anywhere             server.ovh.net     tcp dpt:https to:10.1.0.1:443
DNAT       tcp  --  anywhere             anywhere            tcp dpt:ftp to:192.168.60.130:21

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  10.0.0.0/8           anywhere            to:91.xxxx
SNAT       all  --  192.168.60.129       anywhere            to:87.xxxx
SNAT       all  --  192.168.60.130       anywhere            to:87.xxxx
SNAT       all  --  192.168.21.2         anywhere            to:87.xxxx

Iptables:
Code:
server:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Die Module für das Passive FTP hab ich auch schon geladen:
Code:
server:~# lsmod
Module                  Size  Used by
ppp_async              11008  0
crc_ccitt               2240  1 ppp_async
sha1                    2656  0
arc4                    2112  0
ppp_mppe                6468  0
fuse                   41096  2
xt_state                2272  1
ip_nat_ftp              3904  0
ip_conntrack_ftp        8528  0
ip_nat_pptp             5988  0
ip_conntrack_pptp      11600  1 ip_nat_pptp
ppp_generic            25940  2 ppp_async,ppp_mppe
slhc                    6528  1 ppp_generic
vmnet                  34604  17
parport_pc             32132  0
parport                33576  1 parport_pc
vmmon                 103852  12
iptable_nat             9316  1
vzethdev               11816  0
vznetdev               17508  2
simfs                   5068  1
vzrst                 129300  0
ip_nat                 17840  4 ip_nat_ftp,ip_nat_pptp,iptable_nat,vzrst
vzcpt                 104196  0
ip_conntrack           56224  9 xt_state,ip_nat_ftp,ip_conntrack_ftp,ip_nat_pptp,ip_conntrack_pptp,iptable_nat,vzrst,ip_nat,vzcpt
.
.
.

Ich weiß echt nicht mehr was ich machen soll. Wenn ich die externen IP's auf den FTP-Port scannen lasse mit Nmap, wird immer gesagt, das der Port zu ist.
Von dem Server selber komm ich auf den FTP drauf.

Packetforwarding ist natürlich auch aktiviert und funktioniert auch, da die anderen Dienste erfolgreich weitergeleitet werden.
 
Der Kommandoport vom FTP sollte genau so funktionieren, wie andere Dienst auch. Schwierig wird es erst, wenn eine Datenverbindung aufgebaut wird.

Ansonsten brauchst Du auch bei FORWARD noch die Regel mit RELATED,ESTABLISHED.

Und wofür sind Deine SNAT Einträge da?
 
Also den Kommandoport auch noch natten.
Hmm eigentlich wird ja alles erlaubt in den Iptables ... aber ich werd die sache auch nochma hinzufügen.

Die Snat einträge sind dafür da, dass die VE's auch ins Netz können um z.B. Updates zu ziehen oder ne VPN-Verbindung aufzubauen.

Auf der VE wo ich den FTP-Server laufen hab, hab ich kein Defaultgateway gesetzt, da das alles über eine PPTP-Verbindung geht. Hab lediglich die Routen zum VPN-Server so gesetzt, dass er über das Hostsystem geht.

EDIT: Habe nun die beiden Sachen noch hinzugefügt ... Aber Nmap sagt mir immer noch, dass der Port zu ist.
Und mein FTP-Programm sagt auch nur, dass es sich nicht verbinden kann. Weder passiv noch aktiv ...
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.