Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Passives FTP und Paket-Filter-Einstellungen bei Windows Server 2003

Frage Microsoft Windows Netzwerk

Mitglied: Chevyvan2000

Chevyvan2000 (Level 1) - Jetzt verbinden

05.01.2009, aktualisiert 14:05 Uhr, 6397 Aufrufe, 7 Kommentare

Hallo,

ich hab einen 1und1 Windows Server 2003 R2 Standard x64 Edition SP2

Ich habe Filezilla als FTP-Server laufen, im aktiven Modus funktioniert alles wunderbar.
Nun muss ich aber auch den passiven Modus unterstützen und da komme ich mit den Paket-Filter Einstellungen nicht weiter.
Beim passiven FTP habe ich ja das Problem, das mehrere Ports verwendet werden.

Wenn ich "Block All" Filterregel deaktiviere funktioniert auch passiv FTP.

Habe aber keine Einstellung hinbekommen, wo ich nur bestimmte Ports freigebe.
Habe bei Filezille schon auf 5000-5011 begrenzt, aber wenn ich mit SIW die offenen Ports anzeige taucht da z.B. 63490 bei filezilla auf. Beim nächsten login 63261, usw...

Selbst wenn ich 5000-5011 freigebe und den aktuellen Port z.B. 63261 funktioniert es nicht. Nach Entering Passiv-mode kommt immer "425 Can't open data connection"

Wie gesagt, wenn ich die "Block All" Filterregel raus nehme geht alles perfekt. Aber die hat ja wohl seine Berechtigung...

"Block All" hat übrigens folgende Einstellungen:
Filteraktion: BLOCK
Protokoll: TCP
Quellport: beliebig
Zielport: beliebig
Quelle: Eigene IP
Ziel: Beliebige IP


Viele Grüße
Tim
Mitglied: aqui
05.01.2009 um 14:02 Uhr
Dieses

http://www.alenfelder.com/Informatik/pass-akt-ftp.html

bzw. der Klassiker:

http://slacksite.com/other/ftp.html

sollten deine ACL zum Kinderspiel machen...
Bitte warten ..
Mitglied: Chevyvan2000
05.01.2009 um 14:10 Uhr
Vielen Dank schonmal... auf den Seiten war ich auch schon...

Das heißt dann wohl es geht definitiv nur, wenn ich die "Block All" Regel raus nehme? Mache ich dadurch das System anfällig für Angriffe? Aber eigentlich ist die regel ja nur für ausgehende Verbindungen, oder?
Bitte warten ..
Mitglied: aqui
05.01.2009 um 15:06 Uhr
Nein, das ist natürlich Blödsinn und die "Scheunentor Lösung" !!

Block all blockt ja alle Ports...logisch das dann nix mehr geht !!

Du musst dann wenn du ein eingehendes Interface hast
sowas wie erlaube TCP 21 eingehend einstellen, denn wie die URLs dir oben schon erklärt haben benutzt passives FTP NUR den Port TCP 21 als Zielport wobei normales FTP TCP 20 und TCP 21 benutzt !! Wenn du normales FTP zulassen willst dann nimmst du halt erlaube TCP 20 und TCP 21 eingehend.

Ist die ACL für dein internes Interface ??
Bitte warten ..
Mitglied: Chevyvan2000
05.01.2009 um 15:59 Uhr
Also ich habe regeln definiert für pop3,smtp,ssh,ftp,http,...

Also auch 21 und 20 für eingehende Verbindungen. Aktiv geht ja auch.

Ich weiß nur nicht wie ich für passiv in dem Packet-Filter eine ganze Reihe von Ports freigeben kann. Ist immer nur ein Port pro Regel...

Aber wenn ich mir die Regel "Block All" mit den obigen Einstellungen auch sparen kann, dann geht ja alles
Bitte warten ..
Mitglied: aqui
06.01.2009 um 12:35 Uhr
OK, wenn du aber block all entfernst ist der Port so offen wie ein Scheunentor, denn damit ist alles erlaubt !!!
Wenn du damit leben kannst.. ???

Man kann nur hoffen das das dann kein öffentlicher Port ist !!!

Du musst bei passive FTP nur Port 21 freigeben mehr nicht... Den Datenport öffnet doch dann der Server selber..
Bitte warten ..
Mitglied: Chevyvan2000
06.01.2009 um 14:08 Uhr
Genau das macht er ja leider nicht.

ich hatte bisher immer die "Block All" Regel drin. und dann nur die ports geöffnet die ich brauchte. Doch bei passiven FTP geht es halt nur wenn ich die "Block All" Regel raus nehme.

Mir ist diese Packet-Filter teil von Microsoft auch sehr suspeckt, gibs auch nicht wirklich viel doku zu. Muss ja irgendwie einen Vorrang geben, sonst müßte ja bei "Block All" auch ALLES dicht sein. Ist aber nicht, kann ja Regel bauen, die dann wieder was zulassen, z.B. Port 21

Ich kann aber halt keine Regel bauen, wobei ich "Block All" drin lassen kann und passiv trotzdem funktioniert. Das ist ja mein ganzes dilema.

Hier nochmal die "Block All" regel:

Filteraktion: BLOCK
Protokoll: TCP
Quellport: beliebig
Zielport: beliebig
Quelle: Eigene IP
Ziel: Beliebige IP

ist dabei wirklich alles offen? Ist das nicht nur in eine Richtung? Also vom Server zum Client (Quelle -> Ziel).
Bitte warten ..
Mitglied: aqui
06.01.2009 um 18:34 Uhr
Normalerweise sollte das nach gängiger ACL Logik so sein:

Filteraktion: PASS
Protokoll: TCP
Quellport: beliebig
Zielport: 21
Quelle: Beliebige IP
Ziel: Beliebige IP

Wenn es ein eingehndes Interface ist. BLOCK ALL ist dann immer default.
Es geht nur das was freigegeben ist...
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Batch passives FTP upload
gelöst Frage von weltklasseBatch & Shell2 Kommentare

Hallo, ich versuche per Batch eine Textdatei auf einen FTP-Server hochzuladen. Es handelt sich um einen "passiven FTP-Zugriff". Leider ...

SAN, NAS, DAS
Passives FTP am NAS konfigurieren
gelöst Frage von bonitoSAN, NAS, DAS11 Kommentare

Hallo an alle Wissenden hier, ich habe seit einigen Tagen versucht Zugriff von intern (LAN) und extern (WAN) auf ...

Windows Server
Ftp unter windows server
gelöst Frage von unheimlichWindows Server15 Kommentare

hallo zusammen, also ich habe auf einen windows 2008 root server ein ftp server aufgespielt nun habe ich eine ...

Batch & Shell
Powershell Filtern Filtern Filtern
gelöst Frage von H41mSh1C0RBatch & Shell10 Kommentare

Aloa in die Runde, ich brech mir gerade wieder etwas die Finger ^^ am Freitag. DataTable einmal durchlaufen und ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 54 MinutenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 4 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 4 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 8 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement18 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...