Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Passives FTP und Paket-Filter-Einstellungen bei Windows Server 2003

Frage Microsoft Windows Netzwerk

Mitglied: Chevyvan2000

Chevyvan2000 (Level 1) - Jetzt verbinden

05.01.2009, aktualisiert 14:05 Uhr, 6365 Aufrufe, 7 Kommentare

Hallo,

ich hab einen 1und1 Windows Server 2003 R2 Standard x64 Edition SP2

Ich habe Filezilla als FTP-Server laufen, im aktiven Modus funktioniert alles wunderbar.
Nun muss ich aber auch den passiven Modus unterstützen und da komme ich mit den Paket-Filter Einstellungen nicht weiter.
Beim passiven FTP habe ich ja das Problem, das mehrere Ports verwendet werden.

Wenn ich "Block All" Filterregel deaktiviere funktioniert auch passiv FTP.

Habe aber keine Einstellung hinbekommen, wo ich nur bestimmte Ports freigebe.
Habe bei Filezille schon auf 5000-5011 begrenzt, aber wenn ich mit SIW die offenen Ports anzeige taucht da z.B. 63490 bei filezilla auf. Beim nächsten login 63261, usw...

Selbst wenn ich 5000-5011 freigebe und den aktuellen Port z.B. 63261 funktioniert es nicht. Nach Entering Passiv-mode kommt immer "425 Can't open data connection"

Wie gesagt, wenn ich die "Block All" Filterregel raus nehme geht alles perfekt. Aber die hat ja wohl seine Berechtigung...

"Block All" hat übrigens folgende Einstellungen:
Filteraktion: BLOCK
Protokoll: TCP
Quellport: beliebig
Zielport: beliebig
Quelle: Eigene IP
Ziel: Beliebige IP


Viele Grüße
Tim
Mitglied: aqui
05.01.2009 um 14:02 Uhr
Dieses

http://www.alenfelder.com/Informatik/pass-akt-ftp.html

bzw. der Klassiker:

http://slacksite.com/other/ftp.html

sollten deine ACL zum Kinderspiel machen...
Bitte warten ..
Mitglied: Chevyvan2000
05.01.2009 um 14:10 Uhr
Vielen Dank schonmal... auf den Seiten war ich auch schon...

Das heißt dann wohl es geht definitiv nur, wenn ich die "Block All" Regel raus nehme? Mache ich dadurch das System anfällig für Angriffe? Aber eigentlich ist die regel ja nur für ausgehende Verbindungen, oder?
Bitte warten ..
Mitglied: aqui
05.01.2009 um 15:06 Uhr
Nein, das ist natürlich Blödsinn und die "Scheunentor Lösung" !!

Block all blockt ja alle Ports...logisch das dann nix mehr geht !!

Du musst dann wenn du ein eingehendes Interface hast
sowas wie erlaube TCP 21 eingehend einstellen, denn wie die URLs dir oben schon erklärt haben benutzt passives FTP NUR den Port TCP 21 als Zielport wobei normales FTP TCP 20 und TCP 21 benutzt !! Wenn du normales FTP zulassen willst dann nimmst du halt erlaube TCP 20 und TCP 21 eingehend.

Ist die ACL für dein internes Interface ??
Bitte warten ..
Mitglied: Chevyvan2000
05.01.2009 um 15:59 Uhr
Also ich habe regeln definiert für pop3,smtp,ssh,ftp,http,...

Also auch 21 und 20 für eingehende Verbindungen. Aktiv geht ja auch.

Ich weiß nur nicht wie ich für passiv in dem Packet-Filter eine ganze Reihe von Ports freigeben kann. Ist immer nur ein Port pro Regel...

Aber wenn ich mir die Regel "Block All" mit den obigen Einstellungen auch sparen kann, dann geht ja alles
Bitte warten ..
Mitglied: aqui
06.01.2009 um 12:35 Uhr
OK, wenn du aber block all entfernst ist der Port so offen wie ein Scheunentor, denn damit ist alles erlaubt !!!
Wenn du damit leben kannst.. ???

Man kann nur hoffen das das dann kein öffentlicher Port ist !!!

Du musst bei passive FTP nur Port 21 freigeben mehr nicht... Den Datenport öffnet doch dann der Server selber..
Bitte warten ..
Mitglied: Chevyvan2000
06.01.2009 um 14:08 Uhr
Genau das macht er ja leider nicht.

ich hatte bisher immer die "Block All" Regel drin. und dann nur die ports geöffnet die ich brauchte. Doch bei passiven FTP geht es halt nur wenn ich die "Block All" Regel raus nehme.

Mir ist diese Packet-Filter teil von Microsoft auch sehr suspeckt, gibs auch nicht wirklich viel doku zu. Muss ja irgendwie einen Vorrang geben, sonst müßte ja bei "Block All" auch ALLES dicht sein. Ist aber nicht, kann ja Regel bauen, die dann wieder was zulassen, z.B. Port 21

Ich kann aber halt keine Regel bauen, wobei ich "Block All" drin lassen kann und passiv trotzdem funktioniert. Das ist ja mein ganzes dilema.

Hier nochmal die "Block All" regel:

Filteraktion: BLOCK
Protokoll: TCP
Quellport: beliebig
Zielport: beliebig
Quelle: Eigene IP
Ziel: Beliebige IP

ist dabei wirklich alles offen? Ist das nicht nur in eine Richtung? Also vom Server zum Client (Quelle -> Ziel).
Bitte warten ..
Mitglied: aqui
06.01.2009 um 18:34 Uhr
Normalerweise sollte das nach gängiger ACL Logik so sein:

Filteraktion: PASS
Protokoll: TCP
Quellport: beliebig
Zielport: 21
Quelle: Beliebige IP
Ziel: Beliebige IP

Wenn es ein eingehndes Interface ist. BLOCK ALL ist dann immer default.
Es geht nur das was freigegeben ist...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...