MasqueradeAddress, NAT, Passive Mode

[Moldy]

Hi

Ich habe folgendes Problem:
ProFTPD läuft hinter einem Router und soll von außen erreichbar sein, und zwar auch für Rechner, die ihrerseits NAT zwischen sich und dem Internet haben (also auf passives FTP angewiesen sind).
Ich hab den Router so konfiguriert, daß er die Ports 20, 21 und 60000-65000 auf den ProFTPD-Rechner forwarded.
Dann hab ich in der proftpd.conf
'PassivePorts 60000 65000' und
'MasqueradeAddress meinftp.dyndns.org' eingestellt.

Ergebnis: Clients im passiven Modus können zwar connecten, das Auflösen der Verzeichnisliste schlägt jedoch fehl. Der Debug-Output von proFTPD faselt irgendwas von 'address mismatch'.

Dann hab ich testweise mal 'MasqueradeAddress' auskommentiert, und - siehe da - es funktioniert. Clients können im passiven Modus connecten und alles klappt so, wie es sollte. Im Grunde könnte ich mich damit zufrieden geben, aber ich finde es einerseits etwas unschön, daß proFTPd den FTP-Clients den internen (unmaskierten) Hostnamen verrät, und zweitens würde mich interessieren, warum es mit 'MasqueradeAddress' nicht funktioniert.
Ich bin mir ziemlich sicher, daß es *nicht* daran liegt, daß sich die IP nach dem Start von proFTPd geändert hat - das hab ich überprüft.

Hat irgendjemand ne Idee ? Oder bin ich zu doof und hab irgendwas ganz Offensichtliches übersehen ?

[stonki]

Hi

Ich habe folgendes Problem:
ProFTPD läuft hinter einem Router und soll von außen erreichbar sein, und zwar auch für Rechner, die ihrerseits NAT zwischen sich und dem Internet haben (also auf passives FTP angewiesen sind).
Ich hab den Router so konfiguriert, daß er die Ports 20, 21 und 60000-65000 auf den ProFTPD-Rechner forwarded.
Dann hab ich in der proftpd.conf
'PassivePorts 60000 65000' und
'MasqueradeAddress meinftp.dyndns.org' eingestellt.

Ergebnis: Clients im passiven Modus können zwar connecten, das Auflösen der Verzeichnisliste schlägt jedoch fehl. Der Debug-Output von proFTPD faselt irgendwas von 'address mismatch'.

Dann hab ich testweise mal 'MasqueradeAddress' auskommentiert, und - siehe da - es funktioniert. Clients können im passiven Modus connecten und alles klappt so, wie es sollte. Im Grunde könnte ich mich damit zufrieden geben, aber ich finde es einerseits etwas unschön, daß proFTPd den FTP-Clients den internen (unmaskierten) Hostnamen verrät, und zweitens würde mich interessieren, warum es mit 'MasqueradeAddress' nicht funktioniert.
Ich bin mir ziemlich sicher, daß es *nicht* daran liegt, daß sich die IP nach dem Start von proFTPd geändert hat - das hab ich überprüft.

Hat irgendjemand ne Idee ? Oder bin ich zu doof und hab irgendwas ganz Offensichtliches übersehen ? :)

hmm, das ist schon Tricky. Probiere zu Beginn bitte erst einmal: "AllowForeignAdress on"..http://www.proftpd.de/28.0.html#12

cu
stonki

[Moldy]

Wenn ich 'AllowForeignAddress on' verwende, funktioniert es auch mit 'MasqueradeAddress on'. Allerdings ist das natürlich nicht das, was ich möchte.
Den Grund für den Fehler verstehe ich auch noch nicht. Ist das denn ein allgemeines Problem, oder liegt das an meiner speziellen Konfiguration ?

[Moldy]

- sorry für Doppelposting -

Coweit ich es nachvollziehen kann, ist dies das Problem:
Der Client übermittelt proFTPD per PORT seine interne, unmaskierte IP. proFTPD akzeptiert die aber in der Standardeinstellung nicht, weil die Source-IP der FTP-Verbindung die externe/öffentliche IP des Client-Netzwerkes ist und die 2 natürlich nicht übereinstimmen.
Was ich absolut nicht verstehe ist nur: Wieso funktioniert es, wenn ich MasqeradeAddress abschalte ?

[stonki]

- sorry für Doppelposting -

Coweit ich es nachvollziehen kann, ist dies das Problem:
Der Client übermittelt proFTPD per PORT seine interne, unmaskierte IP. proFTPD akzeptiert die aber in der Standardeinstellung nicht, weil die Source-IP der FTP-Verbindung die externe/öffentliche IP des Client-Netzwerkes ist und die 2 natürlich nicht übereinstimmen.
Was ich absolut nicht verstehe ist nur: Wieso funktioniert es, wenn ich MasqeradeAddress abschalte ?

mit MasqueradAdress gibst Du ja an, dass ProFTPD eine Adresse fuer passiven Transfer angeben soll, die eigentlich nicht seine ist. Dieses wird aber eigentlich von ProFTPD aus Sicherheitsgruenden verworfen.