# Portage hinter Firewall

## Remo84

Hallo

Ich kann mit Portage nichts runterladen. Die Verbindung zu einem Mirror wird hergestellt, jedoch der Download startet nie. Das synchronisieren und surfen funktionieren ohne Probleme. Auch mit wget kann ich die Dateien nicht runterladen.

Mein Rechner befindet sich hinter einer Firewall (Zywall 35).

Die Firewallkonfiguration sieht so aus:

```
LAN to WAN  ------>   Port 873, Ftp, HTTP, HTTPS.... Permit
```

Muss ich noch Ports freigeben vom Internet ins LAN?

Vielen Dank.

Gruss Remo

----------

## Anarcho

Also wenn wget selber funkioniert sollte es eigentlich funktionieren. Hast du vielleicht einen Proxy in der make.conf eingestellt? Ansonsten würde ich mir einen anderen Mirror aussuchen um zu testen, z.b. meine Mirror in make.conf:

```
GENTOO_MIRRORS="http://mirror.muntinternet.net/pub/gentoo/ http://mirrors.sec.informatik.tu-darmstadt.de/gentoo/ http://ftp.uni-erlangen.de/pub/mirrors/gentoo"
```

----------

## firefly

 *Anarcho wrote:*   

> Also wenn wget selber funkioniert sollte es eigentlich funktionieren. Hast du vielleicht einen Proxy in der make.conf eingestellt? Ansonsten würde ich mir einen anderen Mirror aussuchen um zu testen, z.b. meine Mirror in make.conf:
> 
> ```
> GENTOO_MIRRORS="http://mirror.muntinternet.net/pub/gentoo/ http://mirrors.sec.informatik.tu-darmstadt.de/gentoo/ http://ftp.uni-erlangen.de/pub/mirrors/gentoo"
> ```
> ...

 

er hat gesagt, das selbst wget nicht funktioniert

----------

## Anarcho

 *firefly wrote:*   

>  *Anarcho wrote:*   Also wenn wget selber funkioniert sollte es eigentlich funktionieren. Hast du vielleicht einen Proxy in der make.conf eingestellt? Ansonsten würde ich mir einen anderen Mirror aussuchen um zu testen, z.b. meine Mirror in make.conf:
> 
> ```
> GENTOO_MIRRORS="http://mirror.muntinternet.net/pub/gentoo/ http://mirrors.sec.informatik.tu-darmstadt.de/gentoo/ http://ftp.uni-erlangen.de/pub/mirrors/gentoo"
> ```
> ...

 

Ups..... Das kommt davon wenn man das Wort "Auch" an der falschen Stelle verwendet (Reihenfolge: negativ, positiv, auch?).

Dann scheint es also nur auf der Console nicht zu klappen. Hast du denn mit wget den gleichen Mirror probiert? Eventuell mal die Ausgabe von "env" nach proxy einstellungen untersuchen.

----------

## Remo84

Hallo

Vielen Dank für die Antworten.

Mit wget habe ich versucht von ftp.mirror.switch.ch runterzuladen. Diesen Mirror verwende ich auch in meiner /etc/make.conf.

Die Ausgabe von env habe ich mir angesehen, aber keine Einstellungen gefunden, die etwas mit Proxy zu tun haben.

Sollten da welche sein?

Bei der Zywall35 ist es normalerweises doch so, dass Antwortpakete, die zu einer bestehenden Verbindung gehören, ins LAN zugelassen werden. Den FTP Port habe ich aber schon freigegeben von WAN to LAN. Jedoch ohne Erfolg.

Ohne Zywall funktioniert Portage ohne Problem.

Vielen Dank

Remo

----------

## bbgermany

Hi,

ftp funktioniert über 2 Ports. FTP und FTP-DATA wobei bei passivem ftp der FTP-DATA Port wechslen kann  :Sad: 

Am besten ist, du versucht die Pakete via HTTP in deinem Fall runterzuladen.

MfG. Stefan

----------

## Remo84

Hallo

Danke für die Antwort.

An die 2 Ports habe ich gar nicht gedacht. Dann müsste ich alle Ports grösser als 1024 freigeben  :Wink: 

Mit HTTP die Pakete runterladen ist wohl eine mühsame Sache. Ich brauche xorg, KDE, Firefox, Thunderbird.....Wenn ein Update erscheint müsste ich doch das ganze nochmal machen?

Ich werde es aber mal mit dieser Methode versuchen und hoffen, dass sich noch ein erfahrener Firewalladmin meldet.

Vielen Dank

Gruss Remo

----------

## firefly

 *Remo84 wrote:*   

> Hallo
> 
> Danke für die Antwort.
> 
> An die 2 Ports habe ich gar nicht gedacht. Dann müsste ich alle Ports grösser als 1024 freigeben 
> ...

 

öhm wiso sollte es per http mühsam sein?? Du brauchst nur nen mirror der auch per http erreichbar ist.

----------

## bbgermany

 *firefly wrote:*   

> öhm wiso sollte es per http mühsam sein?? Du brauchst nur nen mirror der auch per http erreichbar ist.

 

exakt, wie zum Beispiel diesen hier: http://ftp.wh2.tu-dresden.de/

MfG. Stefan

----------

## think4urs11

 *Remo84 wrote:*   

> An die 2 Ports habe ich gar nicht gedacht. Dann müsste ich alle Ports grösser als 1024 freigeben 
> 
> ...
> 
> Ich werde es aber mal mit dieser Methode versuchen und hoffen, dass sich noch ein erfahrener Firewalladmin meldet.

 

Jaein, das ist nur zum Teil das Problem.

Aktives FTP hat das Problem aus FW-Sicht das der Client dem Server zwar noch sagt über welchen Port die Daten zu laufen haben dann aber der Server den Datenkanal zum Client aufbaut und damit haben sehr viele einfacher gestrickte Firewalls so ihre liebe Not.

i.d.R. hören aktive FTP-Clients auf dem nächsthöheren Port auf eingehende Verbindungen vom FTP-Server also wenn 1234 für den CMD-Channel genutzt wird wird 1235 für den Datachannel benutzt; d.h du hast dann etwas wie

client:<highport, hier 1234> -> server:21

client -> server 'PORT 1235' (gleichzeitig wird auf client ein listen process auf 1235 gebunden)

server:20 -> client:<1235>

Wenn nun eine Firewall dies PORT-Kommandos nicht abfängt und verarbeiten kann wird der Datachannel natürlich nie aufgebaut (außer du hast ein Portforwarding <allehighports>->client, dann geht es trotzdem)

Wesentlich firewallfreundlicher ist der Passivmodus von FTP, dann gehen beide Verbindungen vom Client aus. Aus FW-Sicht ist es dann egal das eines ein FTP-Cmd und das andere ein FTP-Data ist, beides sind TCP und die Firewalls sind (meistens) glücklich.

Allerdings gibt es auch Firewalls/Setups bei denen Aktiv- besser als Passivmodus funktioniert. Von EPSV fange ich gar nicht erst an, damit haben selbst manche Profi-FW's so ihre Wewehchen mit  :Very Happy: 

Wie schon von anderen gesagt im Zweifelsfall ist es einfacher sich einen http-Mirror zu suchen. FTP ist schlicht ein Graus manchmal.

----------

## Remo84

Hallo

Vielen Dank für die Antworten.

Ich habe mal eine neue Firmware auf meine Zywall geladen. Nun funktioniert der Download mit Portage.

Zu den Einstellungen:

 *Quote:*   

> 
> 
> LAN to WAN:
> 
> ftp(Port 20) -------- Permit
> ...

 

Mit  diesen Einstellungen funktioniert das passive FTP. Das FTP ALG muss aktiviert sein.

Gruss Remo

----------

