1
Problem: NAT bei Windows 2003 Server SP1 (als Router)
ftp wird von nat anders behandelt als http....
Hallo zusammen, mein Problem ist folgendes:
Ich habe zwei lokale Netze (A und B), verbunden mit einer Standleitung, geroutet werden die Netze über jeweils einen Windows 2003 Server mit 2 NICs. Der Traffic läuft also:
Netz A -> W2k3 Router1 ---(Transfernetz)---> W2k3 Router 2-> Netz B ---> Firewall ---> Internet
Nun will ein Client X aus Netz A das berüchtigte ELSTER-Modul für das Finanzamt aus der Buchhaltungssoftware starten. Dazu braucht er nicht nur HTTP, sondern auch FTP für die Aktualisierungen.
Meine Firewall zeigt mir nun: IP von ClientX geht per http raus, aber leider auch:
IP des Routers2 aus NetzB geht auf das eigentliche Ziel des Clients per FTP raus. Warum ist das anders als bei http-Traffic??
Gruß
Peter
Ich habe zwei lokale Netze (A und B), verbunden mit einer Standleitung, geroutet werden die Netze über jeweils einen Windows 2003 Server mit 2 NICs. Der Traffic läuft also:
Netz A -> W2k3 Router1 ---(Transfernetz)---> W2k3 Router 2-> Netz B ---> Firewall ---> Internet
Nun will ein Client X aus Netz A das berüchtigte ELSTER-Modul für das Finanzamt aus der Buchhaltungssoftware starten. Dazu braucht er nicht nur HTTP, sondern auch FTP für die Aktualisierungen.
Meine Firewall zeigt mir nun: IP von ClientX geht per http raus, aber leider auch:
IP des Routers2 aus NetzB geht auf das eigentliche Ziel des Clients per FTP raus. Warum ist das anders als bei http-Traffic??
Gruß
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21165
Url: https://administrator.de/contentid/21165
Printed on: April 19, 2024 at 20:04 o'clock
1 Comment
Die Ursache liegt im sleben Problem wie bei mir (Siehe ein Beitrag unter diesem).
Die Firewall zum Internet macht das Masquerading (bei win2k3 "internetverbindungsfreigabe).
Dieses "NAT/PAT" (Network Address Translation/Port Address Translation) arbeitet auf den Schichten 3+4 Des OSI Netzwerkmodels (Auf IP und auch TCP.UDP,ICMP Ebene).
D.h. Die Absenderadresse des Clients wird durch die IP Adresse der Firewall die zum Internet zeigt, und die Weltweit eindeutig ist ersetzt. Wenn das Paket zurück kommt wird die Empängeradresse Ebenfalls vertauscht, so dass das Paket dort ankommt wo es angefordert wurde.
Wenn jetzt versucht wird eine FTP-Verbindung aufzubauen, dann machen der FTP-Client und der FTP-Server eine neue FTP-Verbindung aus.
Diese neue Verbindung läuft (je nach dem Transfer-Mode PASSIV oder ACTIVE) über TCP oder UDP.
Darin besteht aber nicht das Problem, sondern darin, das die se Vereinbarung über die neue Verbindung im FTP-Protokoll ausgehandelt wird (OSI Schicht 5). Die in diesem Protokoll angegebene Client Adresse kann der Server zwar auswerten aber das NAT-Gerät (die Firewall) nicht! Desshalb weis sie nicht das der Client seine (interne, private) IP Adesse nach außen liefert, und kann sie auch nicht austauschen.
Um eine FTP-Verbindung zu ermöglichen muss also in die Firewall ein spezielles Modul geladen werden, das das FTP Protokoll lesen un entsprechend Manipulieren kann.
Leider muss ich um ihnen weiter helfen zu können wissen, welche Firewall sie verwenden.
MfG linuxleuser
Die Firewall zum Internet macht das Masquerading (bei win2k3 "internetverbindungsfreigabe).
Dieses "NAT/PAT" (Network Address Translation/Port Address Translation) arbeitet auf den Schichten 3+4 Des OSI Netzwerkmodels (Auf IP und auch TCP.UDP,ICMP Ebene).
D.h. Die Absenderadresse des Clients wird durch die IP Adresse der Firewall die zum Internet zeigt, und die Weltweit eindeutig ist ersetzt. Wenn das Paket zurück kommt wird die Empängeradresse Ebenfalls vertauscht, so dass das Paket dort ankommt wo es angefordert wurde.
Wenn jetzt versucht wird eine FTP-Verbindung aufzubauen, dann machen der FTP-Client und der FTP-Server eine neue FTP-Verbindung aus.
Diese neue Verbindung läuft (je nach dem Transfer-Mode PASSIV oder ACTIVE) über TCP oder UDP.
Darin besteht aber nicht das Problem, sondern darin, das die se Vereinbarung über die neue Verbindung im FTP-Protokoll ausgehandelt wird (OSI Schicht 5). Die in diesem Protokoll angegebene Client Adresse kann der Server zwar auswerten aber das NAT-Gerät (die Firewall) nicht! Desshalb weis sie nicht das der Client seine (interne, private) IP Adesse nach außen liefert, und kann sie auch nicht austauschen.
Um eine FTP-Verbindung zu ermöglichen muss also in die Firewall ein spezielles Modul geladen werden, das das FTP Protokoll lesen un entsprechend Manipulieren kann.
Leider muss ich um ihnen weiter helfen zu können wissen, welche Firewall sie verwenden.
MfG linuxleuser
