[HaBo]

elite-noob · 03.04.09, 11:28

Hallo zusammen,

im zuge eines Projektes soll/wird gerade ein SQUI Proxy-Server aufgesetzt, dieser soll Transparent sein (so das er nicht in den Browser eingetragen werden muss) und verschiedene andere Funktionalitäten aufweisen.

Bisher habe ich das auch alles geschafft, google ist da ein wahrer Freund,aber gerade hänge ich total.

Für einzelne Nutzer soll es möglich sein mittels FTP Daten an einen Server außerhalb des Netzwerkes zu übermittel, allerdings bekomme ich bei dem Versuch mich per FTP zu verbinden keine Antwort mehr vom Server (ich vermute die Anfrage kommt auch gar nicht erst bis zum Server, kann dies aber leider noch niciht genau eingrenzen.)

Weiß einer von euch wie ich SQUID dazu überreden kann das er FTP durchlässt?
Auch Lösungen mittels IPTABLES wären möglich nur bekomme ich da noch keinen passenden Syntax hin.

System ist DEBIAN 2.6.26-13 Lenny
Squid Version 2.7 STABLE3
zudem SquidGuard 1.2.0

Clients haben als OS Windows XP/Vista und Linux Debian/Ubuntu/Fedora

bisher habe ich versucht in der Squid.conf mit folgenden änderungen weiterzukommen.

[Test 1]
acl Secure_port 20 (ist das wirklich der Port auf dem die Rückantwort des Servers kommt, ich dachte bisher ich gehe auf port 21 raus UND wieder rein!?)
[/Test 1]

[Test 2]
http_access allow CONNECT !SSL_ports (original ist das "deny" und sollte angeblich das Problem sein)
[/Test 2]

[Test 3]
Dann habe ich nochmal explizit "ftp_passive on" eingestellt da dies helfen sollte -> wieder kein Erfolg
[/Test 3]

[Test 4]
versuch FTP über IPTABLES umzuleiten direkt an den Router, aber bisher scheitere ich noch am passenden Syntax
[/Test 4]

Leider bin ich kein Linux-Guru das ich dass aus dem FF beherschen würde, hoffe also das ihr mir weiterhelfen könnt.

Verweise auf google.de und http://www.squid-handbuch.de/hb/ bitte nicht Posten da ich dort schon seit mehreren Tagen aktiv am suchen bin (aber nach ner Woche lässt einfach der glaube es alleine zu schaffen nach)

edit1: wenn ich mir über "tail -f /var/log/squid/access.log" anzeigen lassen sehe ich ja die aktivitäten, ergo auch wenn ich eine Website aufrufe, allerdings erscheint dort nichts wenn ich versuche einen ftp server über den Browser anzusprehcen z.b. ftp://marbert.dyndns.org bringt keine anzeige in der access.log hoffe das hilft vielleicht weiter.

gruß
Christian

**bitmuncher** · 03.04.09, 14:17

Zuerstmal ist die Frage, ob du passives oder aktives FTP verwendest. Dann ist die Frage, ob der Server/Gateway ftp-conntrack im Kernel hat. Und zu guter letzt ist die Frage, was bei deiner IPTables-Lösung genau nicht funktioniert. Du musst doch nur für die FORWARD-Chain eine Regel reinpacken, die Verbindungen auf den gewünschten Server durchlässt. Liegt der Server in einem anderen Netzwerk, in das normalerweise nicht geroutet wird, muss der Gateway natürlich über eine entsprechende Route verfügen. Ansonsten verstehe ich das Problem dabei nicht.

Und zum Problem des Verifizierens, ob die Verbindung ankommt... nutze netcat und traceroute für Verbindungstests.

Anzeige

- Anzeige -

elite-noob · 06.04.09, 08:27

Mittels lsof -i -P habe ich mir mal meine aktiven Netzwerkverbindungen anzeigen lassen und dabei diese Ausgabe hier bekommen

Code:

ftp       12965      root    3u  IPv4 128896       TCP Blackdevile-ubuntu.local:45072->213.202.225.51.rdns.funpic.de:21 (ESTABLISHED)
ftp       12965      root    4u  IPv4 128896       TCP Blackdevile-ubuntu.local:45072->213.202.225.51.rdns.funpic.de:21 (ESTABLISHED)
ftp       12965      root    5u  IPv4 128896       TCP Blackdevile-ubuntu.lo

Ich verstehe das mit aktiv/passiv nicht so ganze glaube aber das es Aktives FTP ist. (Ist es nicht möglich das man auf einem System Aktiv UND Passiv verwenden kann?)

Bezüglich der FORWARD-Chain Regel, reicht es da wenn ich Port 21 weiterleite? Ich kann ja nicht immer sicher sagen auf welchen "zusatzsPort" der Datenaustausch abläuft da ich ja mehrere FTP Server ansprechen muss.

Der Server liegt im Internet in das eigentlich "fast" immer geroutet werden soll (außer wenn die Adresse auf der Blacklist stehen würde [momentan nicht aktiv] bzw. wenn ich alle Verbindungen kappe [logischerweise steht hier auch alles auf on])

Wegen dem Problem Verifizierung, kenne mich mit netcat nicht so aus (werde mich da mal ein wenig in google schlau machen).
Wenn ich traceroute verwende bekomme ich folgende ausgabe

Code:

root@Blackdevile-ubuntu:~# traceroute coder.co.funpic.de -p 21
traceroute to coder.co.funpic.de (213.202.225.51), 30 hops max, 40 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Ich werd mich nochmal mit der FORWARD-Chain auseinandersetzten, habe mich vor dem Projekt mit der noch nie auseinandersetzten müssen.

edit1: ARG...
SQUID in Transparent mode dont support FTP Caching
Da kann ich lange testen :/ Werde dann wohl doch Frox parallel dazu laufen lassen müssen

Gruß
Christian

Anzeige

- Anzeige -

03.04.09, 11:28	#1 (permalink)
elite-noob Registriert seit: 25.09.05 Likes: 2	FTP Problem mit SQUID(Transparent) Anzeige Hallo zusammen, im zuge eines Projektes soll/wird gerade ein SQUI Proxy-Server aufgesetzt, dieser soll Transparent sein (so das er nicht in den Browser eingetragen werden muss) und verschiedene andere Funktionalitäten aufweisen. Bisher habe ich das auch alles geschafft, google ist da ein wahrer Freund,aber gerade hänge ich total. Für einzelne Nutzer soll es möglich sein mittels FTP Daten an einen Server außerhalb des Netzwerkes zu übermittel, allerdings bekomme ich bei dem Versuch mich per FTP zu verbinden keine Antwort mehr vom Server (ich vermute die Anfrage kommt auch gar nicht erst bis zum Server, kann dies aber leider noch niciht genau eingrenzen.) Weiß einer von euch wie ich SQUID dazu überreden kann das er FTP durchlässt? Auch Lösungen mittels IPTABLES wären möglich nur bekomme ich da noch keinen passenden Syntax hin. System ist DEBIAN 2.6.26-13 Lenny Squid Version 2.7 STABLE3 zudem SquidGuard 1.2.0 Clients haben als OS Windows XP/Vista und Linux Debian/Ubuntu/Fedora bisher habe ich versucht in der Squid.conf mit folgenden änderungen weiterzukommen. [Test 1] acl Secure_port 20 (ist das wirklich der Port auf dem die Rückantwort des Servers kommt, ich dachte bisher ich gehe auf port 21 raus UND wieder rein!?) [/Test 1] [Test 2] http_access allow CONNECT !SSL_ports (original ist das "deny" und sollte angeblich das Problem sein) [/Test 2] [Test 3] Dann habe ich nochmal explizit "ftp_passive on" eingestellt da dies helfen sollte -> wieder kein Erfolg [/Test 3] [Test 4] versuch FTP über IPTABLES umzuleiten direkt an den Router, aber bisher scheitere ich noch am passenden Syntax [/Test 4] Leider bin ich kein Linux-Guru das ich dass aus dem FF beherschen würde, hoffe also das ihr mir weiterhelfen könnt. Verweise auf google.de und http://www.squid-handbuch.de/hb/ bitte nicht Posten da ich dort schon seit mehreren Tagen aktiv am suchen bin (aber nach ner Woche lässt einfach der glaube es alleine zu schaffen nach) edit1: wenn ich mir über "tail -f /var/log/squid/access.log" anzeigen lassen sehe ich ja die aktivitäten, ergo auch wenn ich eine Website aufrufe, allerdings erscheint dort nichts wenn ich versuche einen ftp server über den Browser anzusprehcen z.b. ftp://marbert.dyndns.org bringt keine anzeige in der access.log hoffe das hilft vielleicht weiter. gruß Christian

03.04.09, 14:17	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Zuerstmal ist die Frage, ob du passives oder aktives FTP verwendest. Dann ist die Frage, ob der Server/Gateway ftp-conntrack im Kernel hat. Und zu guter letzt ist die Frage, was bei deiner IPTables-Lösung genau nicht funktioniert. Du musst doch nur für die FORWARD-Chain eine Regel reinpacken, die Verbindungen auf den gewünschten Server durchlässt. Liegt der Server in einem anderen Netzwerk, in das normalerweise nicht geroutet wird, muss der Gateway natürlich über eine entsprechende Route verfügen. Ansonsten verstehe ich das Problem dabei nicht. Und zum Problem des Verifizierens, ob die Verbindung ankommt... nutze netcat und traceroute für Verbindungstests. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

06.04.09, 08:27	#3 (permalink)
elite-noob Themenstarter Registriert seit: 25.09.05 Likes: 2	Mittels lsof -i -P habe ich mir mal meine aktiven Netzwerkverbindungen anzeigen lassen und dabei diese Ausgabe hier bekommen Code: ftp 12965 root 3u IPv4 128896 TCP Blackdevile-ubuntu.local:45072->213.202.225.51.rdns.funpic.de:21 (ESTABLISHED) ftp 12965 root 4u IPv4 128896 TCP Blackdevile-ubuntu.local:45072->213.202.225.51.rdns.funpic.de:21 (ESTABLISHED) ftp 12965 root 5u IPv4 128896 TCP Blackdevile-ubuntu.lo Ich verstehe das mit aktiv/passiv nicht so ganze glaube aber das es Aktives FTP ist. (Ist es nicht möglich das man auf einem System Aktiv UND Passiv verwenden kann?) Bezüglich der FORWARD-Chain Regel, reicht es da wenn ich Port 21 weiterleite? Ich kann ja nicht immer sicher sagen auf welchen "zusatzsPort" der Datenaustausch abläuft da ich ja mehrere FTP Server ansprechen muss. Der Server liegt im Internet in das eigentlich "fast" immer geroutet werden soll (außer wenn die Adresse auf der Blacklist stehen würde [momentan nicht aktiv] bzw. wenn ich alle Verbindungen kappe [logischerweise steht hier auch alles auf on]) Wegen dem Problem Verifizierung, kenne mich mit netcat nicht so aus (werde mich da mal ein wenig in google schlau machen). Wenn ich traceroute verwende bekomme ich folgende ausgabe Code: root@Blackdevile-ubuntu:~# traceroute coder.co.funpic.de -p 21 traceroute to coder.co.funpic.de (213.202.225.51), 30 hops max, 40 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * 7 * * * 8 * * * 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 * * * 17 * * * 18 * * * 19 * * * 20 * * * 21 * * * 22 * * * 23 * * * 24 * * * 25 * * * 26 * * * 27 * * * 28 * * * 29 * * * 30 * * * Ich werd mich nochmal mit der FORWARD-Chain auseinandersetzten, habe mich vor dem Projekt mit der noch nie auseinandersetzten müssen. edit1: ARG... SQUID in Transparent mode dont support FTP Caching Da kann ich lange testen :/ Werde dann wohl doch Frox parallel dazu laufen lassen müssen Gruß Christian

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Squid/Webalizer Problem	elite-noob	Linux/UNIX	5	12.05.09 13:44
SQUID(Transparent) https Problem	elite-noob	Linux/UNIX	4	09.04.09 16:24
Debian/Ubuntu Squid - Problem	naked_chef	Linux/UNIX	2	07.10.08 22:23
Laufschrift Transparent	Sven	(Web-) Design und webbasierte Sprachen	7	03.01.07 13:20
Suse Linux 8.2 Server (Squid problem)	LinuxUser	Linux/UNIX	7	12.09.03 19:59

[HaBo]

FTP Problem mit SQUID(Transparent)