joshuatree
Goto Top

CentOS 6.4 - ip-conntrack-ftp fehlt bzw. startet nicht

Hallo,

vielleicht kann mir ja hier jemand helfen.
Ich versuche VSFPT zum fliegen zu bringen.

Mit folgender Anleitung habe ich meine IPTABLES konfiguriert und das funktioniert auch einmal, nur wenn ein zweiter user versucht sicht zu verbinden bekommt er keinen Connect.

service iptables stop

(assumes your ftp server has an IP of: 192.168.0.1. If not, change this IP.)

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 1024:65535 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.0.1 --sport 20 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.1 --dport 20 -m state --state ESTABLISHED -j ACCEPT

vi /etc/sysconfig/iptables-config

# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which 
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="ip_conntrack_netbios_ns"  
IPTABLES_MODULES="ip_conntrack_ftp"  

service iptables start
Dann bekomme ich immer folgenden Fehler
[root@s17052958 etc]# service iptables restart
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Setting chains to policy ACCEPT: nat mangle filte[  OK  ]
iptables: Unloading modules:                               [  OK  ]
iptables: Applying firewall rules:                         [  OK  ]
iptables: Loading additional modules: ip_conntrack_ftp      [FAILED]

Also suchte ich nach ip_conntrack_ftp mit locate and find aber fand im ganzen Sytem nichts dazu.
Gibt es diese unter CentOS 6.4 nicht mehr oder wurde das Modul umbenannt.
Vielleicht noch den Hinweis das System läuft virtuell bei 1und1 und ist komplett frisch also noch nichts verbogen.

Wäre nett wenn mich hier mal jemand an die Hand nehmen könnte.

Content-ID: 212984

Url: https://administrator.de/forum/centos-6-4-ip-conntrack-ftp-fehlt-bzw-startet-nicht-212984.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Alchimedes
Alchimedes 31.07.2013 aktualisiert um 13:02:54 Uhr
Goto Top
Hallo,

Deine IP-Tables Regel ist auch nur fuer einen USER ausgelegt !
Lese Dir mal das LinuxKompendium bei wikibooks durch, vieleicht
hilft Dir das weiter.

http://de.wikibooks.org/wiki/Linux-Kompendium:_Linux-Firewall_mit_IP-Ta ...

Was das module ip_conntrack angeht muesste ich mal wissen welchen Kernel Du am start hast.
mit uname -a wird Dir das angezeigt.

Mit modprobe ip_conntrack_ftp kannst Du nachschauen ob das Module im Kernel vorhanden ist.
Wie aber in der Fehlermeldung zu sehen ist scheint es das nicht.

Wenn Du einen vm Kernel am start hast geht das eh nicht, weil Du keine Module nachladen kannst.

Gruss
AndiEoh
AndiEoh 31.07.2013 um 13:49:55 Uhr
Goto Top
Zitat von @JoshuaTree:
Vielleicht noch den Hinweis das System läuft virtuell bei 1und1 und ist komplett frisch also noch nichts verbogen.


Also wenn du mit virtuell einen V-Server (Container/VZ) meinst, dann kannst du dort keine eigenen Kernel Module laden, sondern nur die verwenden die vom Hoster freigegeben sind.

Falls dies nicht dein Problem ist versuch es mal mit nf_conntrack_ftp...

Gruß

Andi
JoshuaTree
JoshuaTree 31.07.2013 um 14:34:11 Uhr
Goto Top
Also ich habe einen 2.6.32-042stab078.27 Kernel

Zu modprobe ip_conntrack_ftp bekomme ich:
Fatal: Module ip_conntrack_ftp not found.

Also nicht da.

@andi
Werde heute abend mal den nf_conntrack_ftp versuchen und berichten.

Warum beschränken die Hoster den Kernel? Wie kann man damit dan ein vernünftiges System aufbauen ?
Alchimedes
Alchimedes 31.07.2013 aktualisiert um 14:49:50 Uhr
Goto Top
Hallo ,

Warum beschränken die Hoster den Kernel? Wie kann man damit dann ein vernünftiges System
aufbauen ?

kommt wohl auf das Hostingpaket an was man bucht.

Gruss
AndiEoh
AndiEoh 31.07.2013 um 15:07:24 Uhr
Goto Top
Zitat von @JoshuaTree:
Also ich habe einen 2.6.32-042stab078.27 Kernel

Das sieht ganz nach Container aus...


Zu modprobe ip_conntrack_ftp bekomme ich:
Fatal: Module ip_conntrack_ftp not found.

Also nicht da.

@andi
Werde heute abend mal den nf_conntrack_ftp versuchen und berichten.

Warum beschränken die Hoster den Kernel? Wie kann man damit dan ein vernünftiges System aufbauen ?

Bei Container Virtualisierung läuft nur ein Kernel für alle Container (VPS) und folglich gelten für alle die gleichen Kernel-Module. Aus diesem Grund ist es auch nicht erwünscht das man innerhalb des Containers (beliebige) Module nachladen kann, da damit der Kernel modifiziert wird. Wenn das Modul also nicht von deinem Hoster bereits geladen wird hast du Pech gehabt. Vielleicht auch einfach mal die iptables Befehle ohne Modul laden testen, eventuell ist es nämlich bereits geladen.

Gruß

Andi
Alchimedes
Alchimedes 31.07.2013 um 15:38:55 Uhr
Goto Top
Hallo Andi ,

das das Modul vom Kernel nicht geladen wurde hat er bereits geschrieben.

Zu modprobe ip_conntrack_ftp bekomme ich:
Fatal: Module ip_conntrack_ftp not found.

Wenn es aber eine CVM ist wird es sowieso nichts.

Gruss
JoshuaTree
JoshuaTree 31.07.2013 um 19:50:41 Uhr
Goto Top
Hallo,

danke für eure zahlreiche Hilfe.

[root@s17052958 sysconfig]# service iptables restart
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Setting chains to policy ACCEPT: nat mangle filte[  OK  ]
iptables: Unloading modules:                               [  OK  ]
iptables: Applying firewall rules:                         [  OK  ]
iptables: Loading additional modules: nf_conntrack_ftp     [FAILED]
also nf_conntrack_ftp wird auch nicht geladen, was macht das Ding überhaupt bzw. wofür brauche ich das. Ich will doch nur FTP face-smile

@Alchimedes
Warum ist diese Regel nur für ein Connect? Habe deinen Link mir durchgeschaut danke dafür aber ich habe nichts gefunden auf ein connection-limit.
Alchimedes
Alchimedes 31.07.2013 um 21:46:30 Uhr
Goto Top
Hallo Joshua ,

Warum ist diese Regel nur für ein Connect? Habe deinen Link mir durchgeschaut danke dafür aber ich habe nichts gefunden auf ein connection-limit.


natuerlich nicht dafuer war ja der Link !!
den Deine IP-Tables Regel zeigt nur auf die 192.168.0.1 egal ob sport oder dsport !

Die WIKI zeigt ja auch den grundsaetzlichen Umgang mit Iptables , den Du schriebst :

Mit folgender Anleitung habe ich meine IPTABLES konfiguriert

Da fehlt Dir dann das Verstaendnis von iptables.

Gruss
AndiEoh
AndiEoh 31.07.2013 um 22:10:58 Uhr
Goto Top
Zitat von @Alchimedes:
Hallo Andi ,

das das Modul vom Kernel nicht geladen wurde hat er bereits geschrieben.

Er kann das Modul innerhalb des Containers nicht laden, das ist allerdings wie erklärt zu erwarten. Das heißt aber noch nicht das das Modul nicht bereits geladen ist und die iptables rules wie gewünscht funktionieren.

Deshalb einfach mal die Rules ohne Modul laden testen.

Gruß

Andi
JoshuaTree
JoshuaTree 01.08.2013 um 09:03:53 Uhr
Goto Top
@andi
gute Idee face-smile))

Was macht das Modul überhaupt? Wofür wird es benutzt?

@Alchimedes
In der Tat bin ich recht frisch in der Pinguinwelt.
Die Ip-Adresse wird natürlich durch die meines Servers ersetzt, mein Verständnis war das hier das Ziel angegeben wird wo die Pakete hin sollen. hmmm
AndiEoh
AndiEoh 01.08.2013 um 12:38:55 Uhr
Goto Top
Zitat von @JoshuaTree:
@andi
gute Idee face-smile))

Was macht das Modul überhaupt? Wofür wird es benutzt?

FTP besteht aus zwei Verbindungen (Command/Data) und dieses Modul sorgt dafür das die Data Verbindung als "related" markiert wird und freigeschaltet werden kann. Dazu muß der Command Kanal überwacht werden weil dort die verwendeten Ports ausgehandelt werden (aktives FTP), bzw. die beteiligten IP-Adressen damit klar ist von welcher IP die Data Verbindung zu erwarten ist (passives FTP).

Sieht dann bei aktuellen Versionen etwa so aus:

  1. Antworten auf bestehende Verbindungen UDP/TCP auf allen IF erlauben
$IPTABLES -A INPUT -p tcp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  1. FTP
$IPTABLES -A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT

Gruß

Andi
Alchimedes
Alchimedes 01.08.2013 um 22:38:36 Uhr
Goto Top
Hallo andi ,

die Ausgabe von modprobe hat es doch schon laengst gezeigt, die Fehlerausgabe ebenso..., das das Modul nicht geladen wurde und das der Hoster das nicht bereit stellt.

Also ist das Bloedsinn:

Er kann das Modul innerhalb des Containers nicht laden, das ist allerdings wie erklärt zu erwarten. Das heißt aber noch nicht das das Modul nicht bereits
geladen ist und die iptables rules wie gewünscht funktionieren.


Gruss
AndiEoh
AndiEoh 02.08.2013 um 10:28:46 Uhr
Goto Top
Zitat von @Alchimedes:
Hallo andi ,

die Ausgabe von modprobe hat es doch schon laengst gezeigt, die Fehlerausgabe ebenso..., das das Modul nicht geladen wurde und das
der Hoster das nicht bereit stellt.

Je nach Einstellung zeigt lsmod/modprobe im Container gar nichts an. Das laden von Modulen im Container ist auch nur dann möglich wenn der Hoster dir das explizit erlaubt, was eigentlich *nie* der Fall ist, da dies eine Sicherheitslücke darstellt. Im Container kann man allerdings alle Module verwenden die der Hoster beim Systemstart lädt. Wenn dieser also die passenden conntrack bereits geladen hat kann man diese einfach benutzen ohne modprobe oder ähnliches.


Also ist das Bloedsinn:


Ich glaube du hast die Container-Virtualisierung nicht verstanden...

Modprobe etc. sind innerhalb des Containers nutzlos.

Gruß

Andi
The-Warlord
The-Warlord 06.06.2014 um 15:44:48 Uhr
Goto Top
Hallo,

ich habe ein sehr ähnliches Problem.

Kernel: 2.6.32.43-0.4.1.xs1.8.0.835.170778xen

lsmod | grep conntrack
nf_conntrack_ipv4 9521 24 iptable_nat,nf_nat
nf_defrag_ipv4 1045 1 nf_conntrack_ipv4
nf_conntrack 52985 5 ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state

modprobe nf_conntrack_ftp
FATAL: Module nf_conntrack_ftp not found.

Wo bekomme ich das nf_conntrack_ftp Modul her?