Jul 31, 2013

5365

CentOS 6.4 - ip-conntrack-ftp fehlt bzw. startet nicht

Hallo,

vielleicht kann mir ja hier jemand helfen.
Ich versuche VSFPT zum fliegen zu bringen.

Mit folgender Anleitung habe ich meine IPTABLES konfiguriert und das funktioniert auch einmal, nur wenn ein zweiter user versucht sicht zu verbinden bekommt er keinen Connect.

service iptables stop

(assumes your ftp server has an IP of: 192.168.0.1. If not, change this IP.)

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 1024:65535 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 20 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 20 -m state --state ESTABLISHED -j ACCEPT

vi /etc/sysconfig/iptables-config

# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which 
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="ip_conntrack_netbios_ns"  
IPTABLES_MODULES="ip_conntrack_ftp"  

service iptables start

Dann bekomme ich immer folgenden Fehler

[root@s17052958 etc]# service iptables restart
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Setting chains to policy ACCEPT: nat mangle filte[  OK  ]
iptables: Unloading modules:                               [  OK  ]
iptables: Applying firewall rules:                         [  OK  ]
iptables: Loading additional modules: ip_conntrack_ftp      [FAILED]

Also suchte ich nach ip_conntrack_ftp mit locate and find aber fand im ganzen Sytem nichts dazu.
Gibt es diese unter CentOS 6.4 nicht mehr oder wurde das Modul umbenannt.
Vielleicht noch den Hinweis das System läuft virtuell bei 1und1 und ist komplett frisch also noch nichts verbogen.

Wäre nett wenn mich hier mal jemand an die Hand nehmen könnte.

Please also mark the comments that contributed to the solution of the article

Content-Key: 212984

Url: https://administrator.de/contentid/212984

Printed on: April 18, 2024 at 15:04 o'clock

14 Comments

Latest comment

Hallo,

Deine IP-Tables Regel ist auch nur fuer einen USER ausgelegt !
Lese Dir mal das LinuxKompendium bei wikibooks durch, vieleicht
hilft Dir das weiter.

http://de.wikibooks.org/wiki/Linux-Kompendium:_Linux-Firewall_mit_IP-Ta ...

Was das module ip_conntrack angeht muesste ich mal wissen welchen Kernel Du am start hast.
mit uname -a wird Dir das angezeigt.

Mit modprobe ip_conntrack_ftp kannst Du nachschauen ob das Module im Kernel vorhanden ist.
Wie aber in der Fehlermeldung zu sehen ist scheint es das nicht.

Wenn Du einen vm Kernel am start hast geht das eh nicht, weil Du keine Module nachladen kannst.

Gruss

Zitat von @JoshuaTree:

Vielleicht noch den Hinweis das System läuft virtuell bei 1und1 und ist komplett frisch also noch nichts verbogen.

Also wenn du mit virtuell einen V-Server (Container/VZ) meinst, dann kannst du dort keine eigenen Kernel Module laden, sondern nur die verwenden die vom Hoster freigegeben sind.

Falls dies nicht dein Problem ist versuch es mal mit nf_conntrack_ftp...

Gruß

Andi

Also ich habe einen 2.6.32-042stab078.27 Kernel

Zu modprobe ip_conntrack_ftp bekomme ich:
Fatal: Module ip_conntrack_ftp not found.

Also nicht da.

@andi
Werde heute abend mal den nf_conntrack_ftp versuchen und berichten.

Warum beschränken die Hoster den Kernel? Wie kann man damit dan ein vernünftiges System aufbauen ?

Hallo ,

Warum beschränken die Hoster den Kernel? Wie kann man damit dann ein vernünftiges System
aufbauen ?

kommt wohl auf das Hostingpaket an was man bucht.

Gruss

Zitat von @JoshuaTree:

Also ich habe einen 2.6.32-042stab078.27 Kernel

Das sieht ganz nach Container aus...

Zu modprobe ip_conntrack_ftp bekomme ich:
Fatal: Module ip_conntrack_ftp not found.

Also nicht da.

@andi
Werde heute abend mal den nf_conntrack_ftp versuchen und berichten.

Warum beschränken die Hoster den Kernel? Wie kann man damit dan ein vernünftiges System aufbauen ?

Bei Container Virtualisierung läuft nur ein Kernel für alle Container (VPS) und folglich gelten für alle die gleichen Kernel-Module. Aus diesem Grund ist es auch nicht erwünscht das man innerhalb des Containers (beliebige) Module nachladen kann, da damit der Kernel modifiziert wird. Wenn das Modul also nicht von deinem Hoster bereits geladen wird hast du Pech gehabt. Vielleicht auch einfach mal die iptables Befehle ohne Modul laden testen, eventuell ist es nämlich bereits geladen.

Gruß

Andi

Hallo Andi ,

das das Modul vom Kernel nicht geladen wurde hat er bereits geschrieben.

Zu modprobe ip_conntrack_ftp bekomme ich:
Fatal: Module ip_conntrack_ftp not found.

Wenn es aber eine CVM ist wird es sowieso nichts.

Gruss

Hallo,

danke für eure zahlreiche Hilfe.

[root@s17052958 sysconfig]# service iptables restart
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Setting chains to policy ACCEPT: nat mangle filte[  OK  ]
iptables: Unloading modules:                               [  OK  ]
iptables: Applying firewall rules:                         [  OK  ]
iptables: Loading additional modules: nf_conntrack_ftp     [FAILED]

also nf_conntrack_ftp wird auch nicht geladen, was macht das Ding überhaupt bzw. wofür brauche ich das. Ich will doch nur FTP

@Alchimedes
Warum ist diese Regel nur für ein Connect? Habe deinen Link mir durchgeschaut danke dafür aber ich habe nichts gefunden auf ein connection-limit.

Hallo Joshua ,

Warum ist diese Regel nur für ein Connect? Habe deinen Link mir durchgeschaut danke dafür aber ich habe nichts gefunden auf ein connection-limit.

natuerlich nicht dafuer war ja der Link !!
den Deine IP-Tables Regel zeigt nur auf die 192.168.0.1 egal ob sport oder dsport !

Die WIKI zeigt ja auch den grundsaetzlichen Umgang mit Iptables , den Du schriebst :

Mit folgender Anleitung habe ich meine IPTABLES konfiguriert

Da fehlt Dir dann das Verstaendnis von iptables.

Gruss

Zitat von @Alchimedes:

Hallo Andi ,

das das Modul vom Kernel nicht geladen wurde hat er bereits geschrieben.

Er kann das Modul innerhalb des Containers nicht laden, das ist allerdings wie erklärt zu erwarten. Das heißt aber noch nicht das das Modul nicht bereits geladen ist und die iptables rules wie gewünscht funktionieren.

Deshalb einfach mal die Rules ohne Modul laden testen.

Gruß

Andi

@andi
gute Idee

))

Was macht das Modul überhaupt? Wofür wird es benutzt?

@Alchimedes
In der Tat bin ich recht frisch in der Pinguinwelt.
Die Ip-Adresse wird natürlich durch die meines Servers ersetzt, mein Verständnis war das hier das Ziel angegeben wird wo die Pakete hin sollen. hmmm

Zitat von @JoshuaTree:

@andi
gute Idee

))

Was macht das Modul überhaupt? Wofür wird es benutzt?

FTP besteht aus zwei Verbindungen (Command/Data) und dieses Modul sorgt dafür das die Data Verbindung als "related" markiert wird und freigeschaltet werden kann. Dazu muß der Command Kanal überwacht werden weil dort die verwendeten Ports ausgehandelt werden (aktives FTP), bzw. die beteiligten IP-Adressen damit klar ist von welcher IP die Data Verbindung zu erwarten ist (passives FTP).

Sieht dann bei aktuellen Versionen etwa so aus:

Antworten auf bestehende Verbindungen UDP/TCP auf allen IF erlauben

$IPTABLES -A INPUT -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT

Gruß

Andi

Hallo andi ,

die Ausgabe von modprobe hat es doch schon laengst gezeigt, die Fehlerausgabe ebenso..., das das Modul nicht geladen wurde und das der Hoster das nicht bereit stellt.

Also ist das Bloedsinn:

Er kann das Modul innerhalb des Containers nicht laden, das ist allerdings wie erklärt zu erwarten. Das heißt aber noch nicht das das Modul nicht bereits
geladen ist und die iptables rules wie gewünscht funktionieren.

Gruss

Zitat von @Alchimedes:

Hallo andi ,

die Ausgabe von modprobe hat es doch schon laengst gezeigt, die Fehlerausgabe ebenso..., das das Modul nicht geladen wurde und das
der Hoster das nicht bereit stellt.

Je nach Einstellung zeigt lsmod/modprobe im Container gar nichts an. Das laden von Modulen im Container ist auch nur dann möglich wenn der Hoster dir das explizit erlaubt, was eigentlich *nie* der Fall ist, da dies eine Sicherheitslücke darstellt. Im Container kann man allerdings alle Module verwenden die der Hoster beim Systemstart lädt. Wenn dieser also die passenden conntrack bereits geladen hat kann man diese einfach benutzen ohne modprobe oder ähnliches.

Also ist das Bloedsinn:

Ich glaube du hast die Container-Virtualisierung nicht verstanden...

Modprobe etc. sind innerhalb des Containers nutzlos.

Gruß

Andi

Hallo,

ich habe ein sehr ähnliches Problem.

Kernel: 2.6.32.43-0.4.1.xs1.8.0.835.170778xen

lsmod | grep conntrack
nf_conntrack_ipv4 9521 24 iptable_nat,nf_nat
nf_defrag_ipv4 1045 1 nf_conntrack_ipv4
nf_conntrack 52985 5 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state

modprobe nf_conntrack_ftp
FATAL: Module nf_conntrack_ftp not found.

Wo bekomme ich das nf_conntrack_ftp Modul her?

German Question RedHat, CentOS, Fedora Linux

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment