...ftp-data, ftp-proxy & ipchains...

[echo]

ola...

ich habe ein verständnisproblem mit ftp-proxy (frox) und ftp-data channel im

zusammenhang mit den nötigen ipchains regeln.

mittels REDIRECT werden die anfragen zu einem ftp-server (0/0 21) umgeleitet

auf den ftp-proxy port 2121

'ipchains -A input -p tcp -i eth0 -s $LOC_NET -d 0/0 21 -j REDIRECT 2121'

so weit so gut - wenn ich den einsatzzweck eines ftp-proxys ableiten kann

aus dem eines http-proxys, sollte der client im LAN ja nur eine verbindung

zum proxy aufnehmen und dieser dann "stellvertretend" die verbindung zum

entfernten ftp-server. um die rückantwort des entf. ftp-servers zuzulassen

wird folgende ipchainsregel verwendet...

'ipchains -A input -p tcp -i ppp0 -s 0/0 21 -j ACCEPT ! -y'

der ftp-proxy läuft (oder soll laufen) im transparenten modus, die clients

sind auf passiv-mode eingestellt. mit dem obigen regeln ist es möglich die

ftp-control verbindung herzustellen. ich kann mich am server anmelden, die

verbindung (control) steht aber der data-channel wird logischerweise anders

abgewickelt und hier habe ich mein problem.

wie regelt der proxy nun die data verbindung...??? baut der client eine

verbindung zum proxy auf ( client port > 1023 --> proxyport > 1023) und der

proxy dann wiederum eine verbindung zum externen ftp-server...??? welche

regeln müssen erstellt werden, damit auch der data-channel durch das

firewall kommt...???

als mögliche lösung würde das freigeben aller nichtpriviligierten ports in

beide richtungen, aber wer will das schon und das würde den zweck eines

proxies ad absurdum führen. also muss es eine andere lösung geben...

any ideas...?

ps: die default policies sind derzeit:

input DENY

forward ACCEPT (sollte später ebenso auf DENY stehen, aber erst sollte es

mal so funktionieren)

output ACCEPT

alo echo...