doschtinator
Goto Top

ISA 2006 blockt FTP Zugriff

Hallo,

ich benötige ein wenig Hilfe und hoffe auf hilfreiche Antworten, auch wenn das hier beschriebene System schon älter ist und sicherlich nicht mehr häufig verwendet wir. Ich administriere einen Schulserver und bin kein IT-Profi, daher bitte keine Antworten in Richtung "System updaten" oder "Support läuft demnächst aus". Das weiß ich selbst face-wink

Ich habe auf Win 2003 Server den FTP Dienst installiert. Ich möchte von außen mittels FTP Dateien hochladen können, allerdings fehlen letzte Einstellungen im ISA.
Eine Verbindung zum Server mittels FTP lässt sich herstellen, Ports am Router sind geöffnet. Netzintern, wenn ich also mit dem Rechner im Schulnetz die Verbindung aufrufe, funktioniert alles bestens.
Teste ich das Ganze von zu Hause, dann erhalte ich die Meldung "425 Can't open data connection." Der Verzeichnisinhalt vom entfernten Rechner wird nicht aufgelistet. Ein Upload funktioniert, jedoch kommt nur der Dateiname mit leerem Dateiinhalt an.

Eine FTP Regel existiert im ISA, allerdings scheint diese nicht ausreichend zu sein. Muss da unter Umständen noch eine Veröffentlichungsregel eingefügt werden? Oder an ganz anderer Stelle geschraubt werden?

Bin für jeden Tipp/Hinweis dankbar.

Gruß

Content-Key: 245463

Url: https://administrator.de/contentid/245463

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: colinardo
colinardo 03.08.2014 aktualisiert um 21:01:11 Uhr
Goto Top
Hallo doschtinator,
dir fehlt sehr wahrscheinlich die Freigabe der Ports für die Data-Connection der FTP-Verbindung:
FTP Server geht von außen nicht
Die Freigabe von Port 21 reicht nicht, da dieser Port nur für die Control-Connection vorgesehen ist, über den die FTP-Befehle laufen. Die Daten jedoch laufen im passiven Modus über dynamische Ports. Mehr dazu steht hier: http://www.alenfelder.com/Informatik/pass-akt-ftp.html

Der passive Portrange des IIS-FTP Service lässt sich Konfigurieren:
http://support.microsoft.com/kb/555022/en-us
Diesen Portrange musst du dann ebenfalls auf dem Router und der Firewall freigeben. Wenn du das beachtest läuft euer FTP-Server wie gewünscht!

Grüße Uwe
Mitglied: schmitzi
schmitzi 03.08.2014 aktualisiert um 22:07:30 Uhr
Goto Top
Hi,

bei mir funktioniert es so, als dass ich auf dem 2003er-Server den kostenlosen FileZilla-Server installiert habe.
Auf meinem TMG (mehr oder weniger identischer ISA-Nachfolger) habe ich eine Webzugriffsrichtinie für FTP,
die kurz besschrieben wie folgt aussieht:
Aktion: Zulassen, Datenverkehr: (Protokoll-)Gruppe "FTP-Server" (nur Port 21 TCP, mit "FTP-Zugriffsfilter"-Haken AN),
Von: Extern&lokaler Host, Nach: IP des 2003er mit FileZilla (Haken AN bei Ursprung scheint der TMG zu sein),
Netzwerke(der Listener): Extern, Zeitplan: alles
Dann noch RechtsKlick auf die Regel, -> FTP konfigurieren -> Haken bei "Nur-Lesen" RAUS

Intern greife ich einfach direkt auf den Filezilla zu, umgehe den externen Listener des TMGs.
Im FileZilla einfach einen User anlegen (ist natürlich nicht AD-integriert) und Berechtigungen auf Ordnerfreigaben
(auch anderer LANseitiger Server) vergeben,
den Benutzernamen auch von extern über den TMG verwenden.

Kannst die Regel ja mal abgleichen, auch ohne den FileZilla zu nehmen. Evtl. das Nur-Lesen-Häkchen ?
Gruss RS
Mitglied: doschtinator
doschtinator 03.08.2014 um 22:27:34 Uhr
Goto Top
Hallo und danke für die Tipps.
Leider bin ich nicht weiter gekommen. Ich habe die PortRange festgelegt und im ISA versucht diese einzutragen. Ob ich das richtig gemacht habe sei dahin gestellt face-wink TCP oder UDP oder ...???
Ich poste mal den log des FTP-Programms:

Status: Verbinde mit x.y.z.a:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 Microsoft FTP Service
Befehl: USER pdu
Antwort: 331 Password required for pdu.
Befehl: PASS *
Antwort: 230-Willkommen auf dem MRS FTP-Server
Antwort: 230 User pdu logged in.
Status: Der Server unterstützt keine Nicht-ASCII-Zeichen.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (x,y,z,a,21,129).
Befehl: LIST
Antwort: 425 Can't open data connection.
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Was ich nicht ganz verstehe, ist die letzte Zahl bei

Antwort: 227 Entering Passive Mode (x,y,z,a,21,129).

21 ist der Port für FTP, aber 129 ??? Dieser ändert sich auch jeweils bei den neuen Verbindungsversuchen. Sollte da aber jetzt nicht ein Wert zwischen 5500 und 5700 stehen, oder verstehe ich da was falsch?
Zur Not versuche ich mich auch mit dem FileZilla Server, was aber eigentlich keinen Unterschied machen sollte.
Die Ports auf dem Router sind nahezu alle offen, zumindest die, die für FTP genutzt werden. (Meines Wissen alles >1023 ist offen)

Bin für weitere Tipps dankbar. Gruß
Mitglied: colinardo
colinardo 03.08.2014, aktualisiert am 04.08.2014 um 08:00:23 Uhr
Goto Top
Was ich nicht ganz verstehe, ist die letzte Zahl bei
damit lässt sich der verwendete Port berechnen, wie , steht bereits hier: FTP Client: Cannot list server directory
(21*256)+129 = 5505
Die Meldungen sind ein ganz klarer Fall dafür das die benötigen Ports nicht überall offen sind, oder der FTP-Server seine interne IP übergibt.
Mitglied: Pjordorf
Pjordorf 03.08.2014 aktualisiert um 23:05:11 Uhr
Goto Top
Hallo,

Zitat von @doschtinator:
Ob ich das richtig gemacht habe sei dahin gestellt face-wink TCP oder UDP oder ...???
Naja, nicht richtig eingetragen bedeutet eben das es nicht gehen wirdface-smile Das wirst du schon richtig machen müssen face-smile

http://www.isaserver.org/articles-tutorials/configuration-general/Publi ...

Antwort: 227 Entering Passive Mode (x,y,z,a,21,129).
Das ist der Port in Hexadezimale Schreibweise der für die Daten genutzt werden soll.((219 * 256) + 129 = Portnummer)

Zur Not versuche ich mich auch mit dem FileZilla Server
Dem ISA ist es wurscht was du nutzt, er muss nur korrekt eingestellt werden.

Die Ports auf dem Router sind nahezu alle offen
Äußerst gefährlich, schleunigst wieder alles zu machen.

Wie FTP funktioniert:
http://www.techrepublic.com/article/how-ftp-port-requests-challenge-fir ...

Gruß,
Peter
Mitglied: doschtinator
doschtinator 03.08.2014 um 23:07:21 Uhr
Goto Top
Die Ports auf dem Router sind nahezu alle offen
Äußerst gefährlich, schleunigst wieder alles zu machen.

Ja, ist jetzt erst mal zum Testen um den Router als Fehlerquelle asuzuschließen. Danke für den Hinweis!