FTP Problem mit SQUID(Transparent)

E

elite-noob

0
Hallo zusammen,

im zuge eines Projektes soll/wird gerade ein SQUI Proxy-Server aufgesetzt, dieser soll Transparent sein (so das er nicht in den Browser eingetragen werden muss) und verschiedene andere Funktionalitäten aufweisen.

Bisher habe ich das auch alles geschafft, google ist da ein wahrer Freund,aber gerade hänge ich total.

Für einzelne Nutzer soll es möglich sein mittels FTP Daten an einen Server außerhalb des Netzwerkes zu übermittel, allerdings bekomme ich bei dem Versuch mich per FTP zu verbinden keine Antwort mehr vom Server (ich vermute die Anfrage kommt auch gar nicht erst bis zum Server, kann dies aber leider noch niciht genau eingrenzen.)

Weiß einer von euch wie ich SQUID dazu überreden kann das er FTP durchlässt?
Auch Lösungen mittels IPTABLES wären möglich nur bekomme ich da noch keinen passenden Syntax hin.

System ist DEBIAN 2.6.26-13 Lenny
Squid Version 2.7 STABLE3
zudem SquidGuard 1.2.0

Clients haben als OS Windows XP/Vista und Linux Debian/Ubuntu/Fedora

bisher habe ich versucht in der Squid.conf mit folgenden änderungen weiterzukommen.

[Test 1]
acl Secure_port 20 (ist das wirklich der Port auf dem die Rückantwort des Servers kommt, ich dachte bisher ich gehe auf port 21 raus UND wieder rein!?)
[/Test 1]

[Test 2]
http_access allow CONNECT !SSL_ports (original ist das "deny" und sollte angeblich das Problem sein)
[/Test 2]

[Test 3]
Dann habe ich nochmal explizit "ftp_passive on" eingestellt da dies helfen sollte -> wieder kein Erfolg
[/Test 3]

[Test 4]
versuch FTP über IPTABLES umzuleiten direkt an den Router, aber bisher scheitere ich noch am passenden Syntax
[/Test 4]

Leider bin ich kein Linux-Guru das ich dass aus dem FF beherschen würde, hoffe also das ihr mir weiterhelfen könnt.

Verweise auf google.de und http://www.squid-handbuch.de/hb/ bitte nicht Posten da ich dort schon seit mehreren Tagen aktiv am suchen bin (aber nach ner Woche lässt einfach der glaube es alleine zu schaffen nach)

edit1: wenn ich mir über "tail -f /var/log/squid/access.log" anzeigen lassen sehe ich ja die aktivitäten, ergo auch wenn ich eine Website aufrufe, allerdings erscheint dort nichts wenn ich versuche einen ftp server über den Browser anzusprehcen z.b. ftp://marbert.dyndns.org bringt keine anzeige in der access.log hoffe das hilft vielleicht weiter.

gruß
Christian
 
Zuerstmal ist die Frage, ob du passives oder aktives FTP verwendest. Dann ist die Frage, ob der Server/Gateway ftp-conntrack im Kernel hat. Und zu guter letzt ist die Frage, was bei deiner IPTables-Lösung genau nicht funktioniert. Du musst doch nur für die FORWARD-Chain eine Regel reinpacken, die Verbindungen auf den gewünschten Server durchlässt. Liegt der Server in einem anderen Netzwerk, in das normalerweise nicht geroutet wird, muss der Gateway natürlich über eine entsprechende Route verfügen. Ansonsten verstehe ich das Problem dabei nicht.

Und zum Problem des Verifizierens, ob die Verbindung ankommt... nutze netcat und traceroute für Verbindungstests.
 
Mittels lsof -i -P habe ich mir mal meine aktiven Netzwerkverbindungen anzeigen lassen und dabei diese Ausgabe hier bekommen
Code: 
ftp       12965      root    3u  IPv4 128896       TCP Blackdevile-ubuntu.local:45072->213.202.225.51.rdns.funpic.de:21 (ESTABLISHED)
ftp       12965      root    4u  IPv4 128896       TCP Blackdevile-ubuntu.local:45072->213.202.225.51.rdns.funpic.de:21 (ESTABLISHED)
ftp       12965      root    5u  IPv4 128896       TCP Blackdevile-ubuntu.lo

Ich verstehe das mit aktiv/passiv nicht so ganze glaube aber das es Aktives FTP ist. (Ist es nicht möglich das man auf einem System Aktiv UND Passiv verwenden kann?)

Bezüglich der FORWARD-Chain Regel, reicht es da wenn ich Port 21 weiterleite? Ich kann ja nicht immer sicher sagen auf welchen "zusatzsPort" der Datenaustausch abläuft da ich ja mehrere FTP Server ansprechen muss.

Der Server liegt im Internet in das eigentlich "fast" immer geroutet werden soll (außer wenn die Adresse auf der Blacklist stehen würde [momentan nicht aktiv] bzw. wenn ich alle Verbindungen kappe [logischerweise steht hier auch alles auf on])

Wegen dem Problem Verifizierung, kenne mich mit netcat nicht so aus (werde mich da mal ein wenig in google schlau machen).
Wenn ich traceroute verwende bekomme ich folgende ausgabe

Code: 
root@Blackdevile-ubuntu:~# traceroute coder.co.funpic.de -p 21
traceroute to coder.co.funpic.de (213.202.225.51), 30 hops max, 40 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Ich werd mich nochmal mit der FORWARD-Chain auseinandersetzten, habe mich vor dem Projekt mit der noch nie auseinandersetzten müssen.

edit1: ARG...
SQUID in Transparent mode dont support FTP Caching
Da kann ich lange testen :/ Werde dann wohl doch Frox parallel dazu laufen lassen müssen

Gruß
Christian
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben