Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

FortiGate Firewall FTP freigeben

Frage Sicherheit Firewall

Mitglied: t.freidl

t.freidl (Level 1) - Jetzt verbinden

29.06.2010 um 10:19 Uhr, 6955 Aufrufe, 13 Kommentare

Hello @ all!

Ich habe eine FortiGate 60B im Einsatz. Nun hab ich mir von Netgear ein NAS gekauft auf welchem ich den FTP Zugang einetragen bzw. freigegeben habe. Mein Problem ist nun das ich die Konfiguiration auf der FortGate nicht hin bekomme. Ich bin durchs gesamte Netz durch, hab alle Anleitungen gelesen und probiert....bin sicher nicht "der" Firewallspezialist aber ich denke dass das Vorhaben nicht so schwer sein kann. Fixe IP Adressen sind vorhanden.

Kann mir bitte hier jemand weiterhelfen?!
Mitglied: harald21
29.06.2010 um 10:29 Uhr
Hallo,

das ist relativ einfach:
1. Unter Firewall --> Virtual IP eine Weiterleitung eintragen
a) external IP: eine deiner offiziellen IP's
b) mapped IP: die reale Adresse des NAS (192.168.x.y)
2. Unter Firewall --> Policy eine Regel anlegen
a) Source Address: all
b) Destination Address: deine soeben abgelegte virtuell IP
c) Service: FTP auswählen
d) NAT nicht aktivieren!
e) andere Option nach Wunsch auswählen --> Fertig!

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: sniffnase
29.06.2010 um 11:50 Uhr
Richtig, und bei der Policy noch die richtigen interfaces auswählen (src: WAN1 dst: INTERNAL)
Bitte warten ..
Mitglied: t.freidl
29.06.2010 um 11:56 Uhr
Hallo Harald,

danke für deine rasche Anleitung!

Ich hab jetzt unter virtual IP folgendes angegeben:

Name: NAS
External Interface: wan1
External IP Adress: 83.65.x.x (eine freie Adresse)
Mapped IP: 192.168.0.50 (IP des NAS)
Port Forward: aktiv
Protocol: TCP
Extenal Port: 21
Map to Port: 21
bei der Policy hab ich folgendes:

Source Interface: any
source address: all
Destination Inteface: any
Destination: 192.168.0.50
Schedule: always
Service: FTP
Action: Accept
NAT: nicht aktiv
und sonst auch nichts mehr!

....mit diesen Einstellungen komme ich aber leider trotzdem nicht auf das NAS! Hab ich hier einen Fehler drinnen?

BG
TF
Bitte warten ..
Mitglied: 45877
29.06.2010 um 12:38 Uhr
hallo,

du versuchst es aber schon von außen oder?
Und die Box weiss auch dass sie für die IP zuständig ist (83.65.x.x )?
Bitte warten ..
Mitglied: t.freidl
29.06.2010 um 12:48 Uhr
Hi chewbakka,

ja ich teste das Ganze von außen und ja die Box (Nas) weiß bescheid!
Bitte warten ..
Mitglied: sniffnase
29.06.2010 um 13:52 Uhr
Versuchs mit Source Interface WAN1
Destination Interface: internal
Bitte warten ..
Mitglied: 45877
29.06.2010 um 14:10 Uhr
Hallo,

ich meinte, ob die Fortigate weiss, das sie für die IP zuständig ist.
Bitte warten ..
Mitglied: t.freidl
29.06.2010 um 14:19 Uhr
Sorry, das hab ich falsch vesrstanden!

Meinst du ob auf der Fortigate ein Interface mit der neuen externen IP Adresse versehen ist?
Ich seh nur unter den Interfaces das die FG bei wan1 die erste externe IP Adresse stehen hat.
Gibt es noch eine andere Möglichkeit wo die IP steht?

Danke
Bitte warten ..
Mitglied: sniffnase
29.06.2010 um 14:31 Uhr
die IP die unter wan steht ist die richtige
du kannst sie auch vom CLI aus abrufen mit:

show system interface wan1

Die IP Adresse trägst du dann auch bei deiner Virtual IP ein

External IP Adress: 83.65.x.x (eine freie Adresse)

Wieso eine Freie? nein - genau die vom WAN interface.

hast du schon versucht das richtige source und destination interface in der policy anzugeben?

bei der Policy hab ich folgendes:

Source Interface: any (hier WAN1)
source address: all
Destination Inteface: any (hier INTERNAL)
Destination: 192.168.0.50
Bitte warten ..
Mitglied: harald21
29.06.2010 um 15:04 Uhr
Hallo,

in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!
Für FTP wird allerdings nicht nut der Port tcp/21 (FTP-Control) sondern ebenfalls noch der Port tcp/20 (FTP-Data) verwendet. Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic findet somit ausschließlich in der Policy statt.

Dein NAS-Gerät hat aber schon die interne IP-Adresse der Fortigate als Default Gateway eingetragen?
Bitte trage in der Policy auch die korrekten Source- und Destination-Interface ein.

Ansonsten kannst du aber auch den Traffic auf der Fortigate-Konsole mit snifen: "diag sniff pack any 'tcp and port 21' 3" Mit der Option "3" werden die Interface der ein- und ausgehenden Packete mit angezeigt.

Mit freundlichen Grüßen
harald
Bitte warten ..
Mitglied: sniffnase
29.06.2010 um 15:32 Uhr
Zitat von harald21:
Hallo,

in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!

wie soll das mit der freien IP funktionieren?
man sollte schon genau die IP adresse nehmen, zu der man sich von aussen verbindet.
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein. Man kann dem WAN interface aber auch mehrere IP Adressen zuweisen.

Für FTP wird allerdings nicht nut der Port tcp/21 (FTP-Control) sondern ebenfalls noch der Port tcp/20 (FTP-Data) verwendet.
Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic
findet somit ausschließlich in der Policy statt.

Port 21 reicht.
FTP Data Verbindung wird ja vom Server zum client aufgebaut und nicht vom client zum server.

Also ich habe eine Fortigate und einen FTP server.
Virtual IP mit Port 21 und Portweiterleitung funktioniert
Die richtigen Interfaces bei der Policy eingetragen (natürlich auch die reihenfolge der policys beachten) und es funktioniert.


Dein NAS-Gerät hat aber schon die interne IP-Adresse der Fortigate als Default Gateway eingetragen?
Bitte trage in der Policy auch die korrekten Source- und Destination-Interface ein.

Ansonsten kannst du aber auch den Traffic auf der Fortigate-Konsole mit snifen: "diag sniff pack any 'tcp and port
21' 3" Mit der Option "3" werden die Interface der ein- und ausgehenden Packete mit angezeigt.

Mit freundlichen Grüßen
harald
Bitte warten ..
Mitglied: harald21
30.06.2010 um 07:49 Uhr
Hallo,

man sollte schon genau die IP adresse nehmen, zu der man sich von aussen verbindet.
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein. Man kann dem WAN interface aber auch mehrere IP Adressen zuweisen.

Einfach die gewünschte IP-Adresse in der VIP eintragen (und dort das richtige Interface auswählen), ein Binden der IP an das Interface ist absolut überflüssig

Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein

Falsch !

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: sniffnase
30.06.2010 um 10:48 Uhr
da hast du natürlich recht,. Wenn ichs mir jetzt so durchlese weiß ich auch nicht warum ich auf sowas gekommen bin
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst Firewall Fortigate 50B zugriff (7)

Frage von RazorDevil zum Thema Router & Routing ...

Windows Tools
Automatischer FTP-Upload ohne angemeldeten Benutzer (4)

Frage von SarekHL zum Thema Windows Tools ...

Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (5)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...