7
Passives FTP und Paket-Filter-Einstellungen bei Windows Server 2003
Hallo,
ich hab einen 1und1 Windows Server 2003 R2 Standard x64 Edition SP2
Ich habe Filezilla als FTP-Server laufen, im aktiven Modus funktioniert alles wunderbar.
Nun muss ich aber auch den passiven Modus unterstützen und da komme ich mit den Paket-Filter Einstellungen nicht weiter.
Beim passiven FTP habe ich ja das Problem, das mehrere Ports verwendet werden.
Wenn ich "Block All" Filterregel deaktiviere funktioniert auch passiv FTP.
Habe aber keine Einstellung hinbekommen, wo ich nur bestimmte Ports freigebe.
Habe bei Filezille schon auf 5000-5011 begrenzt, aber wenn ich mit SIW die offenen Ports anzeige taucht da z.B. 63490 bei filezilla auf. Beim nächsten login 63261, usw...
Selbst wenn ich 5000-5011 freigebe und den aktuellen Port z.B. 63261 funktioniert es nicht. Nach Entering Passiv-mode kommt immer "425 Can't open data connection"
Wie gesagt, wenn ich die "Block All" Filterregel raus nehme geht alles perfekt. Aber die hat ja wohl seine Berechtigung...
"Block All" hat übrigens folgende Einstellungen:
Filteraktion: BLOCK
Protokoll: TCP
Quellport: beliebig
Zielport: beliebig
Quelle: Eigene IP
Ziel: Beliebige IP
Viele Grüße
Tim
ich hab einen 1und1 Windows Server 2003 R2 Standard x64 Edition SP2
Ich habe Filezilla als FTP-Server laufen, im aktiven Modus funktioniert alles wunderbar.
Nun muss ich aber auch den passiven Modus unterstützen und da komme ich mit den Paket-Filter Einstellungen nicht weiter.
Beim passiven FTP habe ich ja das Problem, das mehrere Ports verwendet werden.
Wenn ich "Block All" Filterregel deaktiviere funktioniert auch passiv FTP.
Habe aber keine Einstellung hinbekommen, wo ich nur bestimmte Ports freigebe.
Habe bei Filezille schon auf 5000-5011 begrenzt, aber wenn ich mit SIW die offenen Ports anzeige taucht da z.B. 63490 bei filezilla auf. Beim nächsten login 63261, usw...
Selbst wenn ich 5000-5011 freigebe und den aktuellen Port z.B. 63261 funktioniert es nicht. Nach Entering Passiv-mode kommt immer "425 Can't open data connection"
Wie gesagt, wenn ich die "Block All" Filterregel raus nehme geht alles perfekt. Aber die hat ja wohl seine Berechtigung...
"Block All" hat übrigens folgende Einstellungen:
Filteraktion: BLOCK
Protokoll: TCP
Quellport: beliebig
Zielport: beliebig
Quelle: Eigene IP
Ziel: Beliebige IP
Viele Grüße
Tim
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 105222
Url: https://administrator.de/contentid/105222
Printed on: April 20, 2024 at 02:04 o'clock
7 Comments
Latest comment
Dieses
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
bzw. der Klassiker:
http://slacksite.com/other/ftp.html
sollten deine ACL zum Kinderspiel machen...
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
bzw. der Klassiker:
http://slacksite.com/other/ftp.html
sollten deine ACL zum Kinderspiel machen...
Vielen Dank schonmal... auf den Seiten war ich auch schon...
Das heißt dann wohl es geht definitiv nur, wenn ich die "Block All" Regel raus nehme? Mache ich dadurch das System anfällig für Angriffe? Aber eigentlich ist die regel ja nur für ausgehende Verbindungen, oder?
Das heißt dann wohl es geht definitiv nur, wenn ich die "Block All" Regel raus nehme? Mache ich dadurch das System anfällig für Angriffe? Aber eigentlich ist die regel ja nur für ausgehende Verbindungen, oder?
Nein, das ist natürlich Blödsinn und die "Scheunentor Lösung" !!
Block all blockt ja alle Ports...logisch das dann nix mehr geht !!
Du musst dann wenn du ein eingehendes Interface hast
sowas wie erlaube TCP 21 eingehend einstellen, denn wie die URLs dir oben schon erklärt haben benutzt passives FTP NUR den Port TCP 21 als Zielport wobei normales FTP TCP 20 und TCP 21 benutzt !! Wenn du normales FTP zulassen willst dann nimmst du halt erlaube TCP 20 und TCP 21 eingehend.
Ist die ACL für dein internes Interface ??
Block all blockt ja alle Ports...logisch das dann nix mehr geht !!
Du musst dann wenn du ein eingehendes Interface hast
sowas wie erlaube TCP 21 eingehend einstellen, denn wie die URLs dir oben schon erklärt haben benutzt passives FTP NUR den Port TCP 21 als Zielport wobei normales FTP TCP 20 und TCP 21 benutzt !! Wenn du normales FTP zulassen willst dann nimmst du halt erlaube TCP 20 und TCP 21 eingehend.
Ist die ACL für dein internes Interface ??
Also ich habe regeln definiert für pop3,smtp,ssh,ftp,http,...
Also auch 21 und 20 für eingehende Verbindungen. Aktiv geht ja auch.
Ich weiß nur nicht wie ich für passiv in dem Packet-Filter eine ganze Reihe von Ports freigeben kann. Ist immer nur ein Port pro Regel...
Aber wenn ich mir die Regel "Block All" mit den obigen Einstellungen auch sparen kann, dann geht ja alles
Also auch 21 und 20 für eingehende Verbindungen. Aktiv geht ja auch.
Ich weiß nur nicht wie ich für passiv in dem Packet-Filter eine ganze Reihe von Ports freigeben kann. Ist immer nur ein Port pro Regel...
Aber wenn ich mir die Regel "Block All" mit den obigen Einstellungen auch sparen kann, dann geht ja alles
OK, wenn du aber block all entfernst ist der Port so offen wie ein Scheunentor, denn damit ist alles erlaubt !!!
Wenn du damit leben kannst.. ???
Man kann nur hoffen das das dann kein öffentlicher Port ist !!!
Du musst bei passive FTP nur Port 21 freigeben mehr nicht... Den Datenport öffnet doch dann der Server selber..
Wenn du damit leben kannst.. ???
Man kann nur hoffen das das dann kein öffentlicher Port ist !!!
Du musst bei passive FTP nur Port 21 freigeben mehr nicht... Den Datenport öffnet doch dann der Server selber..
Genau das macht er ja leider nicht.
ich hatte bisher immer die "Block All" Regel drin. und dann nur die ports geöffnet die ich brauchte. Doch bei passiven FTP geht es halt nur wenn ich die "Block All" Regel raus nehme.
Mir ist diese Packet-Filter teil von Microsoft auch sehr suspeckt, gibs auch nicht wirklich viel doku zu. Muss ja irgendwie einen Vorrang geben, sonst müßte ja bei "Block All" auch ALLES dicht sein. Ist aber nicht, kann ja Regel bauen, die dann wieder was zulassen, z.B. Port 21
Ich kann aber halt keine Regel bauen, wobei ich "Block All" drin lassen kann und passiv trotzdem funktioniert. Das ist ja mein ganzes dilema.
Hier nochmal die "Block All" regel:
Filteraktion: BLOCK
Protokoll: TCP
Quellport: beliebig
Zielport: beliebig
Quelle: Eigene IP
Ziel: Beliebige IP
ist dabei wirklich alles offen? Ist das nicht nur in eine Richtung? Also vom Server zum Client (Quelle -> Ziel).
ich hatte bisher immer die "Block All" Regel drin. und dann nur die ports geöffnet die ich brauchte. Doch bei passiven FTP geht es halt nur wenn ich die "Block All" Regel raus nehme.
Mir ist diese Packet-Filter teil von Microsoft auch sehr suspeckt, gibs auch nicht wirklich viel doku zu. Muss ja irgendwie einen Vorrang geben, sonst müßte ja bei "Block All" auch ALLES dicht sein. Ist aber nicht, kann ja Regel bauen, die dann wieder was zulassen, z.B. Port 21
Ich kann aber halt keine Regel bauen, wobei ich "Block All" drin lassen kann und passiv trotzdem funktioniert. Das ist ja mein ganzes dilema.
Hier nochmal die "Block All" regel:
Filteraktion: BLOCK
Protokoll: TCP
Quellport: beliebig
Zielport: beliebig
Quelle: Eigene IP
Ziel: Beliebige IP
ist dabei wirklich alles offen? Ist das nicht nur in eine Richtung? Also vom Server zum Client (Quelle -> Ziel).
Normalerweise sollte das nach gängiger ACL Logik so sein:
Filteraktion: PASS
Protokoll: TCP
Quellport: beliebig
Zielport: 21
Quelle: Beliebige IP
Ziel: Beliebige IP
Wenn es ein eingehndes Interface ist. BLOCK ALL ist dann immer default.
Es geht nur das was freigegeben ist...
Filteraktion: PASS
Protokoll: TCP
Quellport: beliebig
Zielport: 21
Quelle: Beliebige IP
Ziel: Beliebige IP
Wenn es ein eingehndes Interface ist. BLOCK ALL ist dann immer default.
Es geht nur das was freigegeben ist...
