Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FortiGate Firewall FTP freigeben

Frage Sicherheit Firewall

Mitglied: t.freidl

t.freidl (Level 1) - Jetzt verbinden

29.06.2010 um 10:19 Uhr, 7495 Aufrufe, 13 Kommentare

Hello @ all!

Ich habe eine FortiGate 60B im Einsatz. Nun hab ich mir von Netgear ein NAS gekauft auf welchem ich den FTP Zugang einetragen bzw. freigegeben habe. Mein Problem ist nun das ich die Konfiguiration auf der FortGate nicht hin bekomme. Ich bin durchs gesamte Netz durch, hab alle Anleitungen gelesen und probiert....bin sicher nicht "der" Firewallspezialist aber ich denke dass das Vorhaben nicht so schwer sein kann. Fixe IP Adressen sind vorhanden.

Kann mir bitte hier jemand weiterhelfen?!
Mitglied: harald21
29.06.2010 um 10:29 Uhr
Hallo,

das ist relativ einfach:
1. Unter Firewall --> Virtual IP eine Weiterleitung eintragen
a) external IP: eine deiner offiziellen IP's
b) mapped IP: die reale Adresse des NAS (192.168.x.y)
2. Unter Firewall --> Policy eine Regel anlegen
a) Source Address: all
b) Destination Address: deine soeben abgelegte virtuell IP
c) Service: FTP auswählen
d) NAT nicht aktivieren!
e) andere Option nach Wunsch auswählen --> Fertig!

mfg
Harald
Bitte warten ..
Mitglied: sniffnase
29.06.2010 um 11:50 Uhr
Richtig, und bei der Policy noch die richtigen interfaces auswählen (src: WAN1 dst: INTERNAL)
Bitte warten ..
Mitglied: t.freidl
29.06.2010 um 11:56 Uhr
Hallo Harald,

danke für deine rasche Anleitung!

Ich hab jetzt unter virtual IP folgendes angegeben:

Name: NAS
External Interface: wan1
External IP Adress: 83.65.x.x (eine freie Adresse)
Mapped IP: 192.168.0.50 (IP des NAS)
Port Forward: aktiv
Protocol: TCP
Extenal Port: 21
Map to Port: 21
bei der Policy hab ich folgendes:

Source Interface: any
source address: all
Destination Inteface: any
Destination: 192.168.0.50
Schedule: always
Service: FTP
Action: Accept
NAT: nicht aktiv
und sonst auch nichts mehr!

....mit diesen Einstellungen komme ich aber leider trotzdem nicht auf das NAS! Hab ich hier einen Fehler drinnen?

BG
TF
Bitte warten ..
Mitglied: 45877
29.06.2010 um 12:38 Uhr
hallo,

du versuchst es aber schon von außen oder?
Und die Box weiss auch dass sie für die IP zuständig ist (83.65.x.x )?
Bitte warten ..
Mitglied: t.freidl
29.06.2010 um 12:48 Uhr
Hi chewbakka,

ja ich teste das Ganze von außen und ja die Box (Nas) weiß bescheid!
Bitte warten ..
Mitglied: sniffnase
29.06.2010 um 13:52 Uhr
Versuchs mit Source Interface WAN1
Destination Interface: internal
Bitte warten ..
Mitglied: 45877
29.06.2010 um 14:10 Uhr
Hallo,

ich meinte, ob die Fortigate weiss, das sie für die IP zuständig ist.
Bitte warten ..
Mitglied: t.freidl
29.06.2010 um 14:19 Uhr
Sorry, das hab ich falsch vesrstanden!

Meinst du ob auf der Fortigate ein Interface mit der neuen externen IP Adresse versehen ist?
Ich seh nur unter den Interfaces das die FG bei wan1 die erste externe IP Adresse stehen hat.
Gibt es noch eine andere Möglichkeit wo die IP steht?

Danke
Bitte warten ..
Mitglied: sniffnase
29.06.2010 um 14:31 Uhr
die IP die unter wan steht ist die richtige
du kannst sie auch vom CLI aus abrufen mit:

show system interface wan1

Die IP Adresse trägst du dann auch bei deiner Virtual IP ein

External IP Adress: 83.65.x.x (eine freie Adresse)

Wieso eine Freie? nein - genau die vom WAN interface.

hast du schon versucht das richtige source und destination interface in der policy anzugeben?

bei der Policy hab ich folgendes:

Source Interface: any (hier WAN1)
source address: all
Destination Inteface: any (hier INTERNAL)
Destination: 192.168.0.50
Bitte warten ..
Mitglied: harald21
29.06.2010 um 15:04 Uhr
Hallo,

in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!
Für FTP wird allerdings nicht nut der Port tcp/21 (FTP-Control) sondern ebenfalls noch der Port tcp/20 (FTP-Data) verwendet. Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic findet somit ausschließlich in der Policy statt.

Dein NAS-Gerät hat aber schon die interne IP-Adresse der Fortigate als Default Gateway eingetragen?
Bitte trage in der Policy auch die korrekten Source- und Destination-Interface ein.

Ansonsten kannst du aber auch den Traffic auf der Fortigate-Konsole mit snifen: "diag sniff pack any 'tcp and port 21' 3" Mit der Option "3" werden die Interface der ein- und ausgehenden Packete mit angezeigt.

mfg
harald
Bitte warten ..
Mitglied: sniffnase
29.06.2010 um 15:32 Uhr
Zitat von harald21:
Hallo,

in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!

wie soll das mit der freien IP funktionieren?
man sollte schon genau die IP adresse nehmen, zu der man sich von aussen verbindet.
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein. Man kann dem WAN interface aber auch mehrere IP Adressen zuweisen.

Für FTP wird allerdings nicht nut der Port tcp/21 (FTP-Control) sondern ebenfalls noch der Port tcp/20 (FTP-Data) verwendet.
Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic
findet somit ausschließlich in der Policy statt.

Port 21 reicht.
FTP Data Verbindung wird ja vom Server zum client aufgebaut und nicht vom client zum server.

Also ich habe eine Fortigate und einen FTP server.
Virtual IP mit Port 21 und Portweiterleitung funktioniert
Die richtigen Interfaces bei der Policy eingetragen (natürlich auch die reihenfolge der policys beachten) und es funktioniert.


Dein NAS-Gerät hat aber schon die interne IP-Adresse der Fortigate als Default Gateway eingetragen?
Bitte trage in der Policy auch die korrekten Source- und Destination-Interface ein.

Ansonsten kannst du aber auch den Traffic auf der Fortigate-Konsole mit snifen: "diag sniff pack any 'tcp and port
21' 3" Mit der Option "3" werden die Interface der ein- und ausgehenden Packete mit angezeigt.

mfg
harald
Bitte warten ..
Mitglied: harald21
30.06.2010 um 07:49 Uhr
Hallo,

man sollte schon genau die IP adresse nehmen, zu der man sich von aussen verbindet.
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein. Man kann dem WAN interface aber auch mehrere IP Adressen zuweisen.

Einfach die gewünschte IP-Adresse in der VIP eintragen (und dort das richtige Interface auswählen), ein Binden der IP an das Interface ist absolut überflüssig

Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein

Falsch !

mfg
Harald
Bitte warten ..
Mitglied: sniffnase
30.06.2010 um 10:48 Uhr
da hast du natürlich recht,. Wenn ichs mir jetzt so durchlese weiß ich auch nicht warum ich auf sowas gekommen bin
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Fortigate verschiedene http Webseiten über eine Fortigate als https freigeben
Frage von Josi-CIGLAN, WAN, Wireless

Hallo, ich sitze gerade wiedermal bei einer knifflige Frage und hoffe das ihr mir helfen könnt. Wir haben eine ...

Firewall
Fortigate Firewall FortiClient als Virenschutz
Frage von neueradmuserFirewall9 Kommentare

Hallo, mich stellt sich die Frage ob es ratsam ist den FortiClient intern als Virenschutz einzusetzen und ob dies ...

Router & Routing
Firewall Fortigate 50B zugriff
gelöst Frage von RazorDevilRouter & Routing7 Kommentare

Liebe User Bin verzweifelt auf der Suche nach einer Lösung. Bei mir wurde am Freitag meine Verbindung rebootet und ...

Windows Netzwerk
Firewall Ports freigeben verbieten
Frage von Haraldger123Windows Netzwerk6 Kommentare

Guten Tag zusammen, OS : Windows 7 Ich habe da eine Frage bzgl Ports und der Firewall Ich habe ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 8 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 10 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...