Hallo LUG,
ich habe ein ftp über ssh-Tunnel-Problem mit folgendem Aufbau:
Config-PC --> [1. embeddedSystem mit ssh und iptables] --> [2. emmbeddedSystem mit ftp und telnet, ohne ssh]
Bisher war der Zugriff direkt mit ftp und telnet auf das zweite System. Ich will das nun umbauen und vom Config-PC bis zum 1. embeddedSystem zwei ssh-Tunnel aufbauen (einen für telnet und einen für ftp auf zwei verschiedenen ports), und das Ende des ssh-Tunnels (auf dem 1. embeddedSystem) mit iptables auf das 2. embedded System weiterleiten. Bei telnet funktioniert das ganze auch recht hübsch und schön, und ich kann vom Config-PC auf das 2.embeddedSystem zugreifen und es steuern. Bei ftp funktioniert der Verbindungsaufbau. Als user auf dem Config-PC erhalte ich nun eine Fehlermeldung wegen
setsockopt: Permission denied
als root entfällt diese. In beiden Fällen (user und root) erhalte ich bei "dir" die Fehlermeldung
227 Entering Passive Mode ftp: connect: Connection refused
Ich habe schon gelernt, dass ftp über ssh-tunnel nur im passive Mode funktionieren. In den iptables forwarde ich nur den ftp-port, nicht die Datenports, das sollte aber kein Problem sein, da ich das forwarden mit iptables ohne ssh-Tunnel bereits getestet habe. Den ssh-tunnel baue ich nur mit der Option "-L port:host:hostport" auf, -R bringt keinen Fortschritt
Für jeden Tipp dankbar
Thorsten
Hallo LUG,
ich antworte mir mal gleich selbst: Problem gelöst mit: ssh -L port(Config-PC):ip(2.embeddedSystem):ftpport(2.embeddedSystem) user@1.embeddedSystem
D.h. ich lasse den ssh-Tunnel gleich weitergehen und nicht erst noch über iptables weiterleiten.
Entschuldigt bitte die mails.
Thorsten
--- Ursprüngliche Nachricht --- Von: "Thorsten Mueller" Thorsten-Mueller@gmx.de An: Linux-User-Group Dresden lug-dd@mailman.schlittermann.de Betreff: ftp über ssh-Tunnel Datum: Wed, 17 May 2006 11:41:15 +0200 (MEST)
Hallo LUG,
ich habe ein ftp über ssh-Tunnel-Problem mit folgendem Aufbau:
Config-PC --> [1. embeddedSystem mit ssh und iptables] --> [2. emmbeddedSystem mit ftp und telnet, ohne ssh]
Bisher war der Zugriff direkt mit ftp und telnet auf das zweite System. Ich will das nun umbauen und vom Config-PC bis zum 1. embeddedSystem zwei ssh-Tunnel aufbauen (einen für telnet und einen für ftp auf zwei verschiedenen ports), und das Ende des ssh-Tunnels (auf dem 1. embeddedSystem) mit iptables auf das 2. embedded System weiterleiten. Bei telnet funktioniert das ganze auch recht hübsch und schön, und ich kann vom Config-PC auf das 2.embeddedSystem zugreifen und es steuern. Bei ftp funktioniert der Verbindungsaufbau. Als user auf dem Config-PC erhalte ich nun eine Fehlermeldung wegen
setsockopt: Permission denied
als root entfällt diese. In beiden Fällen (user und root) erhalte ich bei "dir" die Fehlermeldung
227 Entering Passive Mode ftp: connect: Connection refused
Ich habe schon gelernt, dass ftp über ssh-tunnel nur im passive Mode funktionieren. In den iptables forwarde ich nur den ftp-port, nicht die Datenports, das sollte aber kein Problem sein, da ich das forwarden mit iptables ohne ssh-Tunnel bereits getestet habe. Den ssh-tunnel baue ich nur mit der Option "-L port:host:hostport" auf, -R bringt keinen Fortschritt
Für jeden Tipp dankbar
Thorsten
-- GMX Produkte empfehlen und ganz einfach Geld verdienen! Satte Provisionen für GMX Partner: http://www.gmx.net/de/go/partner
Lug-dd maillist - Lug-dd@mailman.schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd
am 17.05.2006, um 11:55:27 +0200 mailte Thorsten Mueller folgendes:
Hallo LUG,
ich antworte mir mal gleich selbst: Problem gelöst mit: ssh -L port(Config-PC):ip(2.embeddedSystem):ftpport(2.embeddedSystem) user@1.embeddedSystem
D.h. ich lasse den ssh-Tunnel gleich weitergehen und nicht erst noch über iptables weiterleiten.
Ja, oder so. ;-)
Entschuldigt bitte die mails.
Kein Problem. Allerdings nicht Dein TOFU. Stell das bitte ab, Danke.
Andreas
am 17.05.2006, um 11:41:15 +0200 mailte Thorsten Mueller folgendes:
Hallo LUG,
ich habe ein ftp über ssh-Tunnel-Problem mit folgendem Aufbau:
Config-PC --> [1. embeddedSystem mit ssh und iptables] --> [2. emmbeddedSystem mit ftp und telnet, ohne ssh]
Mein Beileid.
227 Entering Passive Mode ftp: connect: Connection refused
Ich habe schon gelernt, dass ftp über ssh-tunnel nur im passive Mode funktionieren.
Wieso?
In den iptables forwarde ich nur den ftp-port, nicht die Datenports, das sollte aber kein Problem sein, da ich das forwarden mit iptables ohne
Doch. FTP handelt auf dem FTP-Port den Port für die Daten aus. Bei einem 'ls' z.B. wandert das Kommando 'ls' über den FTP-Kommandoport und das Resultat über den Datenport. Dabei ist zwischen active und passive nur die Richtung des Verbindungsaufbaues unterschiedlich - wenn dies an Deinem iptables scheitert, weil dies den Port nicht forwarded, kommt es exakt zu Deiner Fehlermeldung.
ssh-Tunnel bereits getestet habe. Den ssh-tunnel baue ich nur mit der Option "-L port:host:hostport" auf, -R bringt keinen Fortschritt
Ungetestet, weil FTP eh in den Schrott gehört:
installier Dir auf dem Zwischenrechner, also der mit dem iptables, die conntrack-Module für iptables, und erlaube in FORWARD RELATED-Verbindungen. Dann sollte es klappen.
Für jeden Tipp dankbar
Viel Erfolg!
Mit freundlichen Grüßen, A. Kretschmer
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Thorsten Mueller