Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

CentOS 6.4 - ip-conntrack-ftp fehlt bzw. startet nicht

Frage Linux RedHat, CentOS, Fedora

Mitglied: JoshuaTree

JoshuaTree (Level 1) - Jetzt verbinden

31.07.2013 um 11:29 Uhr, 3873 Aufrufe, 14 Kommentare

Hallo,

vielleicht kann mir ja hier jemand helfen.
Ich versuche VSFPT zum fliegen zu bringen.

Mit folgender Anleitung habe ich meine IPTABLES konfiguriert und das funktioniert auch einmal, nur wenn ein zweiter user versucht sicht zu verbinden bekommt er keinen Connect.

01.
service iptables stop 
02.
 
03.
(assumes your ftp server has an IP of: 192.168.0.1. If not, change this IP.) 
04.
 
05.
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT 
06.
 
07.
iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 
08.
 
09.
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT 
10.
 
11.
iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 1024:65535 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT 
12.
 
13.
iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 20 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT 
14.
 
15.
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 20 -m state --state ESTABLISHED -j ACCEPT 
16.
 
17.
vi /etc/sysconfig/iptables-config 
18.
 
19.
# Load additional iptables modules (nat helpers) 
20.
#   Default: -none- 
21.
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which 
22.
# are loaded after the firewall rules are applied. Options for the helpers are 
23.
# stored in /etc/modprobe.conf. 
24.
IPTABLES_MODULES="ip_conntrack_netbios_ns" 
25.
IPTABLES_MODULES="ip_conntrack_ftp" 
26.
 
27.
service iptables start
Dann bekomme ich immer folgenden Fehler
01.
[root@s17052958 etc]# service iptables restart 
02.
iptables: Flushing firewall rules:                         [  OK  ] 
03.
iptables: Setting chains to policy ACCEPT: nat mangle filte[  OK  ] 
04.
iptables: Unloading modules:                               [  OK  ] 
05.
iptables: Applying firewall rules:                         [  OK  ] 
06.
iptables: Loading additional modules: ip_conntrack_ftp      [FAILED]
Also suchte ich nach ip_conntrack_ftp mit locate and find aber fand im ganzen Sytem nichts dazu.
Gibt es diese unter CentOS 6.4 nicht mehr oder wurde das Modul umbenannt.
Vielleicht noch den Hinweis das System läuft virtuell bei 1und1 und ist komplett frisch also noch nichts verbogen.

Wäre nett wenn mich hier mal jemand an die Hand nehmen könnte.
Mitglied: Alchimedes
31.07.2013, aktualisiert um 13:02 Uhr
Hallo,

Deine IP-Tables Regel ist auch nur fuer einen USER ausgelegt !
Lese Dir mal das LinuxKompendium bei wikibooks durch, vieleicht
hilft Dir das weiter.

http://de.wikibooks.org/wiki/Linux-Kompendium:_Linux-Firewall_mit_IP-Ta ...

Was das module ip_conntrack angeht muesste ich mal wissen welchen Kernel Du am start hast.
mit uname -a wird Dir das angezeigt.

Mit modprobe ip_conntrack_ftp kannst Du nachschauen ob das Module im Kernel vorhanden ist.
Wie aber in der Fehlermeldung zu sehen ist scheint es das nicht.

Wenn Du einen vm Kernel am start hast geht das eh nicht, weil Du keine Module nachladen kannst.

Gruss
Bitte warten ..
Mitglied: AndiEoh
31.07.2013 um 13:49 Uhr
Zitat von JoshuaTree:
Vielleicht noch den Hinweis das System läuft virtuell bei 1und1 und ist komplett frisch also noch nichts verbogen.


Also wenn du mit virtuell einen V-Server (Container/VZ) meinst, dann kannst du dort keine eigenen Kernel Module laden, sondern nur die verwenden die vom Hoster freigegeben sind.

Falls dies nicht dein Problem ist versuch es mal mit nf_conntrack_ftp...

Gruß

Andi
Bitte warten ..
Mitglied: JoshuaTree
31.07.2013 um 14:34 Uhr
Also ich habe einen 2.6.32-042stab078.27 Kernel

Zu modprobe ip_conntrack_ftp bekomme ich:
Fatal: Module ip_conntrack_ftp not found.

Also nicht da.

@andi
Werde heute abend mal den nf_conntrack_ftp versuchen und berichten.

Warum beschränken die Hoster den Kernel? Wie kann man damit dan ein vernünftiges System aufbauen ?
Bitte warten ..
Mitglied: Alchimedes
31.07.2013, aktualisiert um 14:49 Uhr
Hallo ,

Warum beschränken die Hoster den Kernel? Wie kann man damit dann ein vernünftiges System
aufbauen ?

kommt wohl auf das Hostingpaket an was man bucht.

Gruss
Bitte warten ..
Mitglied: AndiEoh
31.07.2013 um 15:07 Uhr
Zitat von JoshuaTree:
Also ich habe einen 2.6.32-042stab078.27 Kernel

Das sieht ganz nach Container aus...


Zu modprobe ip_conntrack_ftp bekomme ich:
Fatal: Module ip_conntrack_ftp not found.

Also nicht da.

@andi
Werde heute abend mal den nf_conntrack_ftp versuchen und berichten.

Warum beschränken die Hoster den Kernel? Wie kann man damit dan ein vernünftiges System aufbauen ?

Bei Container Virtualisierung läuft nur ein Kernel für alle Container (VPS) und folglich gelten für alle die gleichen Kernel-Module. Aus diesem Grund ist es auch nicht erwünscht das man innerhalb des Containers (beliebige) Module nachladen kann, da damit der Kernel modifiziert wird. Wenn das Modul also nicht von deinem Hoster bereits geladen wird hast du Pech gehabt. Vielleicht auch einfach mal die iptables Befehle ohne Modul laden testen, eventuell ist es nämlich bereits geladen.

Gruß

Andi
Bitte warten ..
Mitglied: Alchimedes
31.07.2013 um 15:38 Uhr
Hallo Andi ,

das das Modul vom Kernel nicht geladen wurde hat er bereits geschrieben.

Zu modprobe ip_conntrack_ftp bekomme ich:
Fatal: Module ip_conntrack_ftp not found.

Wenn es aber eine CVM ist wird es sowieso nichts.

Gruss
Bitte warten ..
Mitglied: JoshuaTree
31.07.2013 um 19:50 Uhr
Hallo,

danke für eure zahlreiche Hilfe.

01.
[root@s17052958 sysconfig]# service iptables restart 
02.
iptables: Flushing firewall rules:                         [  OK  ] 
03.
iptables: Setting chains to policy ACCEPT: nat mangle filte[  OK  ] 
04.
iptables: Unloading modules:                               [  OK  ] 
05.
iptables: Applying firewall rules:                         [  OK  ] 
06.
iptables: Loading additional modules: nf_conntrack_ftp     [FAILED]
also nf_conntrack_ftp wird auch nicht geladen, was macht das Ding überhaupt bzw. wofür brauche ich das. Ich will doch nur FTP

@Alchimedes
Warum ist diese Regel nur für ein Connect? Habe deinen Link mir durchgeschaut danke dafür aber ich habe nichts gefunden auf ein connection-limit.
Bitte warten ..
Mitglied: Alchimedes
31.07.2013 um 21:46 Uhr
Hallo Joshua ,

Warum ist diese Regel nur für ein Connect? Habe deinen Link mir durchgeschaut danke dafür aber ich habe nichts gefunden auf ein connection-limit.


natuerlich nicht dafuer war ja der Link !!
den Deine IP-Tables Regel zeigt nur auf die 192.168.0.1 egal ob sport oder dsport !

Die WIKI zeigt ja auch den grundsaetzlichen Umgang mit Iptables , den Du schriebst :

Mit folgender Anleitung habe ich meine IPTABLES konfiguriert

Da fehlt Dir dann das Verstaendnis von iptables.

Gruss
Bitte warten ..
Mitglied: AndiEoh
31.07.2013 um 22:10 Uhr
Zitat von Alchimedes:
Hallo Andi ,

das das Modul vom Kernel nicht geladen wurde hat er bereits geschrieben.

Er kann das Modul innerhalb des Containers nicht laden, das ist allerdings wie erklärt zu erwarten. Das heißt aber noch nicht das das Modul nicht bereits geladen ist und die iptables rules wie gewünscht funktionieren.

Deshalb einfach mal die Rules ohne Modul laden testen.

Gruß

Andi
Bitte warten ..
Mitglied: JoshuaTree
01.08.2013 um 09:03 Uhr
@andi
gute Idee ))

Was macht das Modul überhaupt? Wofür wird es benutzt?

@Alchimedes
In der Tat bin ich recht frisch in der Pinguinwelt.
Die Ip-Adresse wird natürlich durch die meines Servers ersetzt, mein Verständnis war das hier das Ziel angegeben wird wo die Pakete hin sollen. hmmm
Bitte warten ..
Mitglied: AndiEoh
01.08.2013 um 12:38 Uhr
Zitat von JoshuaTree:
@andi
gute Idee ))

Was macht das Modul überhaupt? Wofür wird es benutzt?

FTP besteht aus zwei Verbindungen (Command/Data) und dieses Modul sorgt dafür das die Data Verbindung als "related" markiert wird und freigeschaltet werden kann. Dazu muß der Command Kanal überwacht werden weil dort die verwendeten Ports ausgehandelt werden (aktives FTP), bzw. die beteiligten IP-Adressen damit klar ist von welcher IP die Data Verbindung zu erwarten ist (passives FTP).

Sieht dann bei aktuellen Versionen etwa so aus:

  1. Antworten auf bestehende Verbindungen UDP/TCP auf allen IF erlauben
$IPTABLES -A INPUT -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  1. FTP
$IPTABLES -A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT

Gruß

Andi
Bitte warten ..
Mitglied: Alchimedes
01.08.2013 um 22:38 Uhr
Hallo andi ,

die Ausgabe von modprobe hat es doch schon laengst gezeigt, die Fehlerausgabe ebenso..., das das Modul nicht geladen wurde und das der Hoster das nicht bereit stellt.

Also ist das Bloedsinn:

Er kann das Modul innerhalb des Containers nicht laden, das ist allerdings wie erklärt zu erwarten. Das heißt aber noch nicht das das Modul nicht bereits
geladen ist und die iptables rules wie gewünscht funktionieren.


Gruss
Bitte warten ..
Mitglied: AndiEoh
02.08.2013 um 10:28 Uhr
Zitat von Alchimedes:
Hallo andi ,

die Ausgabe von modprobe hat es doch schon laengst gezeigt, die Fehlerausgabe ebenso..., das das Modul nicht geladen wurde und das
der Hoster das nicht bereit stellt.

Je nach Einstellung zeigt lsmod/modprobe im Container gar nichts an. Das laden von Modulen im Container ist auch nur dann möglich wenn der Hoster dir das explizit erlaubt, was eigentlich *nie* der Fall ist, da dies eine Sicherheitslücke darstellt. Im Container kann man allerdings alle Module verwenden die der Hoster beim Systemstart lädt. Wenn dieser also die passenden conntrack bereits geladen hat kann man diese einfach benutzen ohne modprobe oder ähnliches.


Also ist das Bloedsinn:


Ich glaube du hast die Container-Virtualisierung nicht verstanden...

Modprobe etc. sind innerhalb des Containers nutzlos.

Gruß

Andi
Bitte warten ..
Mitglied: The-Warlord
06.06.2014 um 15:44 Uhr
Hallo,

ich habe ein sehr ähnliches Problem.

Kernel: 2.6.32.43-0.4.1.xs1.8.0.835.170778xen

lsmod | grep conntrack
nf_conntrack_ipv4 9521 24 iptable_nat,nf_nat
nf_defrag_ipv4 1045 1 nf_conntrack_ipv4
nf_conntrack 52985 5 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state

modprobe nf_conntrack_ftp
FATAL: Module nf_conntrack_ftp not found.

Wo bekomme ich das nf_conntrack_ftp Modul her?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
DNS
gelöst Sophos UTM9 - FTP nur über IP erreichbar (4)

Frage von PronMaster zum Thema DNS ...

Windows Server
IP-Einstellungen werden falsch angezeigt (5)

Frage von schlumpf90 zum Thema Windows Server ...

Sicherheit
gelöst Libreoffice Makros deaktivieren - Button fehlt in LO 5 (2)

Frage von Der-Phil zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...