chonta
Goto Top

FileZilla aktives FTP XP Firewall

Hallo,

ich habe ein Problem mit XP, Filezilla, aktiv FTP und der Windows Firewall.

Per GPO habe ich TCP eingehend und ausgehend für die IP vom FTP-Server für Ports und Ziel-IP und Programm beliebig.
Der Pfad der Startdatei von Filezilla ist auch bei den Programmaußnahmen hinterlegt.

Aber ich bekomme ums Verrecken keine Verbindung.
Die Verbindung wird aufgebaut, aber die Ordnerauflistung kommt nicht zustande, weil die Firewall nicht mitspielen will....
Wird die Firewall deaktiviert geht es natürlich, aber das ist kein Zustand.

Eine Umstellung auf passives FTP ist keineOption.

Wie kann die Firewall endlich dazu gebracht werden mitzuspielen?
Das Problem betrift nur Domänenbenutzer.

Gruß

Chonta

Content-Key: 240742

Url: https://administrator.de/contentid/240742

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: Pjordorf
Pjordorf 12.06.2014 um 18:40:56 Uhr
Goto Top
Hallo,

Zitat von @Chonta:
Per GPO habe ich TCP eingehend und ausgehend für die IP vom FTP-Server für Ports
Welche Ports genau? Nur TCP 21 oder auch TCP 20 und eventuell alle Ports welche der FTP Server dann nimmt um dir aktive seine daten zu senden also 0 - 65535 oder was? Dein Client nimmt Lokal einen beliebigen Port (mit seinen FTP programm) und will damit einen entfernten FTP auf TCP 21 erreichen. (Quelle beliebiger Port Lokal nach FTP Ziel Port 21). Als Antwort kommt dann Lokal an einen beliebigen PORT vom entfernten FTP Server von dessen Port 20 (Quelle FTP Server Port 20 an beliebigen Port Lokal)

und Ziel-IP
Das ist doch dein lokaler Windows XP Client (also deren eigen Firewall) oder etwa nicht?

und Programm beliebig.
Beliebiges Programm? Nicht gezielt auf die .exe deines Filezilla oder des tatsächlichen FTP programms?

Der Pfad der Startdatei von Filezilla ist auch bei den Programmaußnahmen hinterlegt.
Sollte da nicht das tatsächlich durchführende FTP Programm drin stehen was auch den FTP Datenverkehr aufbaut und steuert? Nur dieses sprciht doch tatsächlich mit den entfernten FTP Server.

Die Verbindung wird aufgebaut, aber die Ordnerauflistung kommt nicht zustande, weil die Firewall nicht mitspielen will....
as sagt dir dann dein kabelhai wleche IP und ports tatsächlich denn nun wie mit wem Reden wollen. Die Ports bei dir sind Dynamisch und nicht vorherbestimmt bei aktiv FTP (ausser beim FTP Server selbst sind seine zu vergebenden Ports eingeschränkt worden - was du aber normalerweise weder sehen noch wissen kannst).

Wird die Firewall deaktiviert geht es natürlich, aber das ist kein Zustand.
Korrekt face-smile

Wie kann die Firewall endlich dazu gebracht werden mitzuspielen?
UPNP? Deine Ports für den anzunehmenden Datenverkehr wird dir ja erst genannt nachdem du eine Anfrage an eben diesen FTP stellst. Der sagt dann dein FTP Programm auf welchen Port er den Datenverkehr zu erwarten hat. Aber das sagt dir auch dein Kabelhai...

Das Problem betrift nur Domänenbenutzer.

Dann auch nur die Firewall Regeln für Domänenbenutzer machen face-smile

Und wenn dein FTP Client (CMD Fenster hilft ungemein zum testen) dann solche sachen wie (223,161,254,210,184,53) schreibt, dann zeigen dir die letzten beide Zahlen den Port an den der FTZP Server nutzen will. (184 * 256 + 53 = Port)

Gruß,
Peter

http://www.techrepublic.com/article/how-ftp-port-requests-challenge-fir ...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.06.2014 aktualisiert um 09:20:10 Uhr
Goto Top
Moin,

Ganz einacfh:

Aktives FTP heißt, der Server kann eine Verbindung zu (fast) jedem Port Deinem Client aufbauen. Du mußt als eingehende Verbindungen von dem FTP-Server zu Deiner Kiste erlauben. Die ausgehenden Verbindungen sind schnuppe.

Siehe azch RFC959

lks
Mitglied: Chonta
Chonta 13.06.2014 um 09:42:51 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

> Zitat von @Chonta:
> Per GPO habe ich TCP eingehend und ausgehend für die IP vom FTP-Server für Ports
Welche Ports genau? Nur TCP 21 oder auch TCP 20 und eventuell alle Ports welche der FTP Server dann nimmt um dir aktive seine
daten zu senden also 0 - 65535 oder was? Dein Client nimmt Lokal einen beliebigen Port (mit seinen FTP programm) und will damit
einen entfernten FTP auf TCP 21 erreichen. (Quelle beliebiger Port Lokal nach FTP Ziel Port 21). Als Antwort kommt dann Lokal an
einen beliebigen PORT vom entfernten FTP Server von dessen Port 20 (Quelle FTP Server Port 20 an beliebigen Port Lokal)

Es gibt mehrere Regeln auch eine die 20 und 21 durch lässt.
Aber es gibt auch ganz Banal die Regel für eingehen das von der IP des FTP jeder belibige Port durch darf und das in beide Richtungen.
Dieselbe Regel gibt es auch noch zusätzlich für die filezilla.exe

> und Ziel-IP
Das ist doch dein lokaler Windows XP Client (also deren eigen Firewall) oder etwa nicht?

Für eingehende Verbindungen ja
Für ausgehende Verbindungen is es der FTP-Server
Laut Regel darf jeder Client zum FTP-Server eine TCP-Verbindung auf jdem belibigen Port aufbauen.
Und inder Theorie darf der FTP-Server über TCP mit jedem Client über jeden Port eine Verbindung aufbauen...
Es geht immer nur bis zu dem Punkt wo der Verzeichnisinhalt aufgelistet werden soll.


> und Programm beliebig.
Beliebiges Programm? Nicht gezielt auf die .exe deines Filezilla oder des tatsächlichen FTP programms?

Sowohl als auch aber weder allein noch zusammen

> Der Pfad der Startdatei von Filezilla ist auch bei den Programmaußnahmen hinterlegt.
Sollte da nicht das tatsächlich durchführende FTP Programm drin stehen was auch den FTP Datenverkehr aufbaut und
steuert? Nur dieses sprciht doch tatsächlich mit den entfernten FTP Server.

filezilla.exe ist das tatsächklich durchführende Program.
aber guter Punkt werde das noch erweitern.


> Die Verbindung wird aufgebaut, aber die Ordnerauflistung kommt nicht zustande, weil die Firewall nicht mitspielen will....
as sagt dir dann dein kabelhai wleche IP und ports tatsächlich denn nun wie mit wem Reden wollen. Die Ports bei dir sind
Dynamisch und nicht vorherbestimmt bei aktiv FTP (ausser beim FTP Server selbst sind seine zu vergebenden Ports eingeschränkt
worden - was du aber normalerweise weder sehen noch wissen kannst).

> Wird die Firewall deaktiviert geht es natürlich, aber das ist kein Zustand.
Korrekt face-smile

Blöd ist halt wenn man der Firewall im Prinzip sagt, alles was von IP X kommt has du durchzulassen und die Firewall trozdem blockt....

> Wie kann die Firewall endlich dazu gebracht werden mitzuspielen?
UPNP? Deine Ports für den anzunehmenden Datenverkehr wird dir ja erst genannt nachdem du eine Anfrage an eben diesen FTP
stellst. Der sagt dann dein FTP Programm auf welchen Port er den Datenverkehr zu erwarten hat. Aber das sagt dir auch dein
Kabelhai...

?
UPNP nicht im Einsatz.
Der Port für den Datenaustausch wird dem Client übermittelt, ja, aber da ich ja jeden Port von der IP des FTP-Serers erlaube.....

> Das Problem betrift nur Domänenbenutzer.

Dann auch nur die Firewall Regeln für Domänenbenutzer machen face-smile

Damit meine ich, das jemand mit Adminrechten keine Probleme hat, aber ein Domänenbenutzer keine Verbindung bekommt.
Die Firewalleinstellungen der GPO sind im Teil für Computer.

Und wenn dein FTP Client (CMD Fenster hilft ungemein zum testen) dann solche sachen wie (223,161,254,210,184,53) schreibt, dann
zeigen dir die letzten beide Zahlen den Port an den der FTZP Server nutzen will. (184 * 256 + 53 = Port)

Die Rechnung wusste ich nicht, danke dafür face-smile
Das Problem bei aktiv FTP ist, es ist nie der selbe Port und kann auch von Client zu Client anders sein.



Gruß

Chonta
Mitglied: Chonta
Chonta 13.06.2014 um 10:01:09 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Ganz einacfh:

Aktives FTP heißt, der Server kann eine Verbindung zu (fast) jedem Port Deinem Client aufbauen. Du mußt als eingehende
Verbindungen von dem FTP-Server zu Deiner Kiste erlauben. Die ausgehenden Verbindungen sind schnuppe.

Siehe azch RFC959

lks

Hallo,

Programm;beliebig
und miene Regel für eingehend (alle 3 Profile)
Lokaler Port:beliebig
Remoteport:beliebig
Lokaler Bereich:beliebig
Remotebereich: IP vom FTP
Dienst: Alle Programme und Dienste
Netzwerkschnitstellen: alle

sollte je eigentlich reichen, aber tuts nicht.
Unther den Administrativen Vorlagen muss man auch noch das Programm (Filezilla) bei den Programmausnahmen eintragen.
Bei einigen Rechnern wo das lokal gemacht wurde, hatte sogar das gereicht.
Aber bei einigen reicht das nicht...

Gruß

Chonta
Mitglied: Pjordorf
Lösung Pjordorf 13.06.2014 aktualisiert um 12:43:56 Uhr
Goto Top
Hallo,

Zitat von @Chonta:

Remoteport:beliebig
PORT 21 zum FTP und PORT 20 vom FTP

Remotebereich: IP vom FTP
Machst du noch NAT nach dein WinXP?

Bei einigen Rechnern wo das lokal gemacht wurde, hatte sogar das gereicht.
Si.

Aber bei einigen reicht das nicht...
TCP/IP Stack schon mal zurückgesetzt?

Und, was sagt dein Kabelhai denn was da bei dir passiert oder nicht passiert?

Gruß,
Peter

[Edit}
NAT nachgetragen
[/Edit]
Mitglied: Chonta
Chonta 13.06.2014 aktualisiert um 12:28:42 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

> Zitat von @Chonta:

> Remoteport:beliebig
PORT 21 zum FTP und PORT 20 vom FTP

Bei beliebig sind auch 21 und 20 mit dabei.

> Remotebereich: IP vom FTP
Machst du noch nach dein WinXP?

Bei den Firewalleinstellungen ist Remote immer der Server/Internet/Gegenstelle.
Da ich ein GPO für alle will ist die IP des Clients natürlich beliebig und die Remote IP ist die vom Server.

> Bei einigen Rechnern wo das lokal gemacht wurde, hatte sogar das gereicht.
Si.

Bei meinen Problem Rechnern hilft das aber nichtmehr. Da hatte ich das Program eingetragen, aber Benutzer dürfen trozdem nicht....

> Aber bei einigen reicht das nicht...
TCP/IP Stack schon mal zurückgesetzt?

Eben erledingt, anscheinend behoben.

Und, was sagt dein Kabelhai denn was da bei dir passiert oder nicht passiert?

jetzt hats klick gemacht was Du damit meinst.... der sagt die reden miteinander, aber ab da wo der Port für den Datenaustausch festelegt wird.. Zonk.
Also die werden sich noch einig, aber danach ist ende.

Gruß,
Peter

Gruß

Chonta
Mitglied: Pjordorf
Pjordorf 13.06.2014 um 12:43:08 Uhr
Goto Top
Hallo,

Zitat von @Chonta:
Bei beliebig sind auch 21 und 20 mit dabei.
Und es geht auch ohne Firewall. Willst du nur bestimmtes zulassen oder nicht? Firewall ja oder nein oder eine Regel die alles erlaubt (Was bringt dann eine Firewall?)?

> Machst du noch nach dein WinXP?
Sorry, mein Fehler. Da fehlt das Wort NAT. Die Frage sollte lauten: Machst du noch NAT nach dein WinXP und wenn ja, kann die denn das handeln bzw. erlaubt die es denn auch?

Da ich ein GPO für alle will ist die IP des Clients natürlich beliebig und die Remote IP ist die vom Server.
Ganz nachvollziehen kann ich nicht warum in einer Domäne alle Rechner actives FTP können müssen. Braucht es dann überhaupt noch Firewalls?

Bei meinen Problem Rechnern hilft das aber nichtmehr.
Hmmmm. Sollte da noch mehr und anderes im argen liegen?

Da hatte ich das Program eingetragen, aber Benutzer dürfen trozdem nicht....
Rechte?

Eben erledingt, anscheinend behoben.
Bedeutet es geht jetzt oder meintest du das das zurücksetzen des TCP/IP Stacks erfolgreich war?

Also die werden sich noch einig, aber danach ist ende.
Klar. Danach hört es auf. Ist in der Natur des activen FTP das wenn es nicht geht das es eben nicht gehtface-smile (Wenn paasiv FTP nicht geht, geht auch passiv FTP nichtface-smile) Sicher das alles innerhalb der Kette auch ein actives FTP erlaubt bzw. es deinen Clients dies erlaubt? Da ist doch noch mehr als nur deine Windows XP Firewall im Spiel, oder?

Gruß,
Peter
Mitglied: Chonta
Chonta 13.06.2014 um 14:39:00 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

> Zitat von @Chonta:
> Bei beliebig sind auch 21 und 20 mit dabei.
Und es geht auch ohne Firewall. Willst du nur bestimmtes zulassen oder nicht? Firewall ja oder nein oder eine Regel die alles
erlaubt (Was bringt dann eine Firewall?)?
Das Problem ist, das die Regel nicht greift und keine Verbindung zustande kommt. Also erstmal alles vom Server und vom Server erlauben.
Wenn nichtmal das geht....
Habe noch eine andere Fehlerquelle gefunden.
Es ist SEP im einsatz, das auch einen Netzwerkschutz mitbringt, der auf der Windowsfirewall aufbaut.
Als der IP-Stack resetet wurde, ging der Firewalltreiber von SEP kaput. Aber ich konnte wie erwartet die Verbindung aufbauen.
Nun ist das Program wieder installiert, und nichts geht.
Komishcer weise zeigt das Protokol aber nicht an, das was geblockt wird.....


> > Machst du noch nach dein WinXP?
Sorry, mein Fehler. Da fehlt das Wort NAT. Die Frage sollte lauten: Machst du noch NAT nach dein WinXP und wenn ja, kann die denn
das handeln bzw. erlaubt die es denn auch?

Es gibt nur einen NAT-Router der das Gateway ist.
Da eine Verbindung bei deaktivierter Firewall auf dem Client funktioniert, ist nicht der NAT-Router das Problem.

> Da ich ein GPO für alle will ist die IP des Clients natürlich beliebig und die Remote IP ist die vom Server.
Ganz nachvollziehen kann ich nicht warum in einer Domäne alle Rechner actives FTP können müssen. Braucht es dann
überhaupt noch Firewalls?

Ganz einfach, der Firmen FTP steht im Internet und erlaubt nur activ FTP.
Warum eine Firewall? Es gibt noch mehr Programme als Filezilla die nicht dürfen sollen und auch mehr Server im Internet die nicht einfach durch dürfen sollen.

> Bei meinen Problem Rechnern hilft das aber nichtmehr.
Hmmmm. Sollte da noch mehr und anderes im argen liegen?

Ich vermute ein Zusammenspiel aus WindowsFirewall und dem Netzwerkschutz von SEP.
Von SEP wird eine neue Version verwendet, mit der Vorversion gab es nicht dieses riesige Problem.

> Da hatte ich das Program eingetragen, aber Benutzer dürfen trozdem nicht....
Rechte?

> Eben erledingt, anscheinend behoben.
Bedeutet es geht jetzt oder meintest du das das zurücksetzen des TCP/IP Stacks erfolgreich war?

Beides, nach einem Neustart gign die Verbindung, aber SEP nichtmehr, nachdem SEP neu installiert wurde, gehts wieder nicht.

> Also die werden sich noch einig, aber danach ist ende.
Klar. Danach hört es auf. Ist in der Natur des activen FTP das wenn es nicht geht das es eben nicht gehtface-smile (Wenn paasiv FTP
nicht geht, geht auch passiv FTP nichtface-smile) Sicher das alles innerhalb der Kette auch ein actives FTP erlaubt bzw. es deinen
Clients dies erlaubt? Da ist doch noch mehr als nur deine Windows XP Firewall im Spiel, oder?

SEP ist noch im Einsatz, hat aber auch die Regeln zum Durchlassen von Verbindungen die von dem Server kommen...
Und SEP baut auf der Firewall von Windows auf, was dort an Ausnahmen schon drin ist (und fuktioniert) darf auch weiter. (Speziel ein MSI von Ultravnc das verteilt wird über GPO, Für das gibt es nur die Firewalausnahmen in der Windowsfirewall)

Gruß,
Peter

Gruß

Chonta
Mitglied: Pjordorf
Pjordorf 13.06.2014 um 15:05:54 Uhr
Goto Top
Hallo,

Zitat von @Chonta:
Das Problem ist, das die Regel nicht greift und keine Verbindung zustande kommt.
Ich denke die Regel greift, aber etwas anderes blockiert deine dort an der windows Firewall gewollten Daten.

Habe noch eine andere Fehlerquelle gefunden.
NOCH ein Fehlerquelle oder eher DIE Fehlerquelle? face-smile

Es ist SEP im einsatz, das auch einen Netzwerkschutz mitbringt, der auf der Windowsfirewall aufbaut.
Was ist SEP? Da sehe ich nicht das dort eine Firewall gebaut und genutzt wurde die auf der Windows eigenen (XP) Firewall aufsetzt. SEP hat sein eigenes ding gemacht. Und die ist von der Windows Firewall unabhängig. Warum Installiert ,an das so und entschließt sich nicht, nur 1 Produkt (hier Firewall) zu nutzen. Du Installierst und nutzt doch auch keine 3 AntiVirus Programme gleichzeitig, oder?
http://en.wikipedia.org/wiki/Symantec_Endpoint_Protection
http://en.wikipedia.org/wiki/Sygate_Technologies

Und warum nutzt du auf einen Rechner 2 Firewalls? Ist dein leben nicht schon kompliziert genug?face-smile

Als der IP-Stack resetet wurde, ging der Firewalltreiber von SEP kaput
Na, wenn doch dein SEP auf der Windos Firewall aufbauen würde, hätte das doch gar keine auswirkung auf dein SEP gehabt, oder?

. Aber ich konnte wie erwartet die Verbindung aufbauen.
OK. Fehler gefunden. SEP

Komishcer weise zeigt das Protokol aber nicht an, das was geblockt wird.....
Das ist weder komisch oder Kopfzerbrechend. SEP ist so eingestellt das es dir nichts sagen soll. Einstellungssache?

Ganz einfach, der Firmen FTP steht im Internet und erlaubt nur activ FTP.
OK, konnte keiner hier ahnen. Und nicht sinnvoller dort auf Passiv zu stellen?

Ich vermute ein Zusammenspiel aus WindowsFirewall und dem Netzwerkschutz von SEP.
Nein, kein zusammenspiel. Das sinf zwei getrennte Produkte. Ob du dein SEP auch ohne die Firewallfunktion installieren kannst kann ich nicht sagen. Bei Sophos Endpoint Protektion (nein, nicht SEP face-smile) geht es.

Beides, nach einem Neustart gign die Verbindung, aber SEP nichtmehr, nachdem SEP neu installiert wurde, gehts wieder nicht.
Dein Fehler ist doch gefunden. SEP. Überdenkt euer Firewallkonzept und einigt euch darauf wo welche produkte genutzt werden. Eine Lokale Firewall sollte ausreichen (ich empfehle die Windows eigene in LAN) und dann habt ihr auch weniger Probleme.

Und SEP baut auf der Firewall von Windows auf,
Nein, eigenes Produkt.

was dort an Ausnahmen schon drin ist
Klar kann SEP evtl vorhandene Einträge auslesen und sich daraus eigene Regeln bauen. Ich nutze kein SEP, eher Sophos Endpoint Protection (aber ohne deren Firewall). Glaubensfrage und vor allem "Was will ich denn".

Gruß,
Peter
Mitglied: Chonta
Chonta 13.06.2014 um 15:24:55 Uhr
Goto Top
So, nun gehts wie es soll.
Zum schluss lag es an SEP. Musste die Richtlinie nochmal durchdrücken und nun geht es.

Werde nochmal testen, ob das Konfigurieren an einer stelle reich und ich mir die GPO sparen kann.
Vielen Dank für Deine Hilfe.

Gruß

Chonta