Hilfe! Router läßt kein LIST auf FTP zu

[eAnic]

Ich benutze daheim einen Zyxel Prestige 643 (packet filter router) als Internetgateway.

Zu meinem Problem: Wir haben in der Firma einen FTP Server eingerichtet, welcher nur über Port 4600 erreichbar ist und kein passive FTP zuläßt. Diesen kann ich von außen durchaus erreichen, allerdings bricht er nach dem Login beim Befehl LIST nach "150 Opening ASCII mode data connection for /bin/ls" mit dem Fehler "Cannot open DATA Connection" ab.
Mit einem Alcatel USB modem komme ich allerdings problemlos rein.
Woran kann das liegen? Muß ich bei mir einen speziellen Port freigeben - wenn ja, welchen?

Danke im Voraus für eure Hilfe!
- Tri

[aprex]

welchen ftp server hast du auf der anderen seite und auf was für einer leitung hängt das ding welche hardware wird auf der anderen seite verwendet
welchen ftp client nimmst du selber ?

es kann nur sein das sich dein zyxel mit der gegenseite nicht richtig versteht

[eAnic]

Auf der Gegenseite läuft der Serv-U FTP lokal auf meinem Arbeitsplatz und läuft durch eine Linux Firewall auf einem Open BSD (glaub ich).
Auf dieser wurde eingestellt, das alle Requests auf den Port 4600 auf meinen Arbeitsplatzrechner weitergeleitet werden.

Gibt es vielleicht irgenwo im Net eine gute Referenz, welche genau beschreibt, was bei einer FTP Anfrage genau im Hintergrund abläuft?

[_m3]

FTP benutzt zwei getrennte TCP-Verbindungen: eine für Kommandos zwischen Client und Server sowie deren Ergebnisse (diese Verbindung wird meist als Kommandokanal bezeichnet), und eine zweite Verbindung, auf der Verzeichnislistings und Dateien übertragen werden (der Datenkanal) Auf der Seite des Servers benutzt der Kommandokanal Port 21 und der Datenkanal gewöhnlich Port 20. Der Client verwendet für Kommando- und Datenkanal jeweils Portnummern über 1023.

Aktiver Modus: Server baut Datenverbindung über den zuvor vom Client übermittelten PORT auf (PORT-Befehl).
Passiver Modus: Client baut eine Datenverbindung zum Server auf. Dadruch wird vorher keine Portnummer mitgeteilt.

(Forumssuche ruled! )

[aprex]

Zitat:

Original geschrieben von _m3
FTP benutzt zwei getrennte TCP-Verbindungen: eine für Kommandos zwischen Client und Server sowie deren Ergebnisse (diese Verbindung wird meist als Kommandokanal bezeichnet), und eine zweite Verbindung, auf der Verzeichnislistings und Dateien übertragen werden (der Datenkanal) Auf der Seite des Servers benutzt der Kommandokanal Port 21 und der Datenkanal gewöhnlich Port 20. Der Client verwendet für Kommando- und Datenkanal jeweils Portnummern über 1023.

Aktiver Modus: Server baut Datenverbindung über den zuvor vom Client übermittelten PORT auf (PORT-Befehl).
Passiver Modus: Client baut eine Datenverbindung zum Server auf. Dadruch wird vorher keine Portnummer mitgeteilt.

(Forumssuche ruled! )

bei dem was du schreibst muss ich dir wiedersprechen das kann nicht sein denn wenn du bei der firewall(linux) alle port zumachst und nur denn 21 aufmachst warum funktioniert der ftp dann trotzdem ?

[eAnic]

@m3: Danke für den Crashkurs in FTP - ich werde mal mittels netstat nachforschen, welche Ports bei mir zum Datenaustausch wirklich verwendet werden. Vermutlich blockt mein Router den einkommenden Transfer auf diesen Ports.

[_m3]

@aprex:
passiver modus (siehe oben, dann brauchst du keinen kanal 20)?

Zitat:

The FTP control connection is established via TCP between the user
process port U and the server process port L. This protocol is
assigned the service port 21 (25 octal), that is L=21.
...
The FTP specification says that by default, all data transfers should
be over a single connection. An active open is done by the server,
from its port 20 to the same port on the client machine as was used
for the control connection. The client does a passive open.

Siehe auch:
RFC 1579 Firewall-Friendly FTP: ftp://ftp.isi.edu/in-notes/rfc1579.txt
RFC 959 FILE TRANSFER PROTOCOL (FTP): http://www.rfc-editor.org/cgi-bin/rf...ile_format=txt
Und eine SEHR gute Erklärung: http://www.slacksite.com/other/ftp.html

[aprex]

Zitat:

Original geschrieben von _m3
@aprex:
passiver modus (siehe oben, dann brauchst du keinen kanal 20)?

Siehe auch:
RFC 1579 Firewall-Friendly FTP: ftp://ftp.isi.edu/in-notes/rfc1579.txt
RFC 959 FILE TRANSFER PROTOCOL (FTP): http://www.rfc-editor.org/cgi-bin/rf...ile_format=txt
Und eine SEHR gute Erklärung: http://www.slacksite.com/other/ftp.html

vielleicht ist bei mir was anders aber egal ob passiv mode oder nicht
nur port 21 und sonst keiner

[valo]

in vielen firewalls/packetfilter (zb ipf/ip auf openbsd, iptables auf linux) kann man configurieren dass "statefull instpection" verwendet werden soll. die firewall öffnet dann dynamisch ports, sofern die von intern bzw einer bestehenden verbindung bei ftp verlangt werden.