Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Port 21 auf ner FortiGate 60C

Frage Linux Linux Netzwerk

Mitglied: littleguitar

littleguitar (Level 1) - Jetzt verbinden

01.11.2010 um 03:00 Uhr, 6126 Aufrufe, 8 Kommentare

Hallo zusammen,

ich bin freiberuflich im Bereich Netzwerk und Systemadministration zuständig und in letzter Zeit etwas verstärkt mit den Appliances von Fortinet betreut. Da hab ich in der Arbeit mit den Geräten eine für mich etwas merkwürdige Beobachtugn gemacht aber wohlmöglich hab ich auch anderweitig etwas übersehen.

Undzwar möchte ich ganze gerne Port21 forwarden um den FTP unserer NAS im eigens dafür eingerichteten VLAN von außen ansprechbar zu machen. Kurios ist für mich erstmal das ich leider den Port21 nicht offen bekomme egal was ich veranstalte.
Ich kann diverse Ports öffnen so beispielsweise Port 22 oder wahlweise auch andere und verifiziere ob diese geöffnet sind mittels diverser Postscanner. Dazu lasse ich dann jeweils testweise einen Dienst auf dem jeweiligen Port lauschen und weigesagt bei Port21 verweigert mir die Forti das Forwarding als wenn irgendwo n Geisterdienst bereits auf diesem Port laufen würde. Eventuell habt ihr ja nen Tip für mich denn im Augenblick steh ich da gewissermaßen vor einem Rätsel.
Mitglied: StefanKittel
01.11.2010 um 07:43 Uhr
Moin,

erscheint denn eine Fehlermeldung?
Außerdem mußt Du bedenken, dass Du für FTP nicht nur den Kontroll-Port 21 benötigst sondern auch die Datenports. Diese werden dynamisch vom FTP Server vergeben, der dazu auch Deine öffentliche IP wissen muss.

Stefan
Bitte warten ..
Mitglied: aqui
01.11.2010 um 08:53 Uhr
FTP besteht immer aus 2Ports !! TCP 20 und TCP 21 ! Vermutlich tappst du in diese Falle ?!
Nur mit 21 kannst du arbeiten wenn deine Clients FTP im Passive Mode Supporten.
http://slacksite.com/other/ftp.html
Bitte warten ..
Mitglied: StefanKittel
01.11.2010 um 10:59 Uhr
"The confusion begins however, when we find that depending on the mode, the data port is not always on port 20. "
Bitte warten ..
Mitglied: littleguitar
01.11.2010 um 11:47 Uhr
Möglicherweise hab ich mich etwas missverständlich ausgedrückt. Das aktiv FTP mehr als nur Port 21 zur Kommuikation benötigt ist mir schon klar aber das ist nicht die Crux in der Sache.
Denn als ich mich gestern damit beschäftigt habe eben weil ich permanent ein Connection Refused vom FTP Client bekam bei dem Versuch mich mit dem FTP Server der NAS zu verbinden ist mir eben aufgefallen das ich Port21 ganz explizit nicht geöffnet bekomme. Wenn ich den Serverport des FTP Servers hingegen ändere auf sagen wir 60000 bekomme ich passiv auch die Verbindung bei entsprechender Änderung der Virtual IP Einstellung in der Fortigate.

Woran es scheitert ist das wenn ich Port21 forwarde ich ja zumindest in der Lage sein sollte den offenen Zustand des Ports über einen der vielen Portscanner zu verifizieren. Leider aber ist Port21 immer dicht wohingegen ich bei dem Versuch andere Ports zu öffnen die entsprechende Bestätigung über den Portscanner erhalte das diese von außen erreichbar sind. Das ist es halt was ich nicht verstehe denn die FTP Verbindung als solche ist ja noch einen Schritt weiter aber das Port21 sich absolut nicht öffnen lässt als wäre der Port in irgendeiner Art und Weise belegt bereitet mir Kopf zerbrechen.
Bitte warten ..
Mitglied: aqui
01.11.2010 um 13:29 Uhr
Dann hast du ganz klar ein Problem auf der Fortigate, das die diesne Port nicht forwardet. Eine andere Schlussfolgerung kann es nicht geben !

Was klar sein muss sind folgende Fakten:
  • Das NAS muss zwingend den FTP Passive Mode supporten !
  • Der FTP Client muss zwingend den FTP Passive Mode supporten ! Gut zum Test sind z.B. der Firefox Browser mit ftp://... im URL Fenster denn der nutzt immer den Passive Modus !
  • Der FTP Zugang sollte zwingend vorher im lokalen Netz direkt am NAS getestet werden im Passive Mode um sicherzugehen das das NAS Passive Mode kann.

Kannst du diese 3 Punkte sicher ausschliessen hast du entweder ein Konfig Problem oder einen Bug auf der Fortigate. Zu vermuten ist eher ersteres...
Bitte warten ..
Mitglied: littleguitar
01.11.2010 um 14:03 Uhr
So Entwarnung ich habs mittlerweile lösen können. Ich hab mal die Konfiguration der FritzBox überprüft an die die Forti als Exposed Host (DMZ) angebunden ist. Nach dem letzten Firmware Update der Fritze hat sich ein neues Feature eingeschlichen das NAS ähnliche Dienste bereitstellt darunter eben auch FTP und aufgrund dessen war Port 21 belegt *seufz*

Nun jetzt funktioniert die Verbindung wenn ich Port21 an der Forti weiterreiche ohne Probleme. Ich hätte allerdings ganz gerne Explicit Secure FTP aktiviert und dabei verweigert mir der FTP die Verbindung mit der Fehlermeldung
"Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." danach dann Timeout.

Hier hab ich offenbar noch n Fehler drin. Explicit Secure FTP läuft doch nach wie vor über Port21. Also müsste ich doch im Prinzip lediglich Port20,21 und ggf. den vorher festgelegten PASSIV Portrange an die NAS über die Forti forwarden oder fehlt noch etwas?
Bitte warten ..
Mitglied: aqui
01.11.2010 um 14:30 Uhr
Vergiss doch die doofe FB und konfiguriere die nur als dummes Modem (PPPoE Passthrough) oder kaufe dir ein nur DSL Modem !
Damit ersparts du dir die sinnvole PFW Frickelei mit einem Router davor.
Die Fortigate kann doch selber PPPoE direkt und da macht ein kompletter Router davor doch gar keinen Sinn !
Ein simples Modem oder die FB im PPPoE Passthrough Modus erleichtert dir das Leben ungemein !


Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
Bitte warten ..
Mitglied: littleguitar
01.11.2010 um 14:41 Uhr
Viel mehr macht sie ja auch nicht. Die FritzBox wählt die PPPoE Verbindung dafür taugt se auch ganz gut reicht aber alles ungefilter an die Forti weiter. Die FritzBox nennt das Exposed Host ist aber nich viel anders als würde man die Forti an eine DMZ hängen. Hat denn jemand noch n Tip bezüglich Secure FTP Explicit? Weil sonst mach ich wie von dir gefordert zu und bezeichen das hier als gelöst

Danke schonmal.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Fortigate 60C: Port Forwarding mittels virtueller IP funktioniert nicht mehr
gelöst Frage von nextizedRouter & Routing9 Kommentare

Liebe Administratoren Vor kurzem wurde bei einem unserer Kunden die Public Domain (example.com) auf einen neuen Anbieter transferiert. Die ...

Firewall
(Fortigate 60C) VPN - IPSec (over L2TP) ohne FortiClient einrichten
Frage von fr3ttchenFirewall

hallo zusammen, ich versuche seit tagen auf unserer fortigate 60c ein ipsec-vpn einzurichten - eben ohne die benutzung des ...

Router & Routing
Fortigate ipsec
Frage von meister00Router & Routing5 Kommentare

hallo, ich habe folgendes Problem. ich möchte von einem aussenstandort einen Server in unsere Domäne einbinden. habe mit 2 ...

Router & Routing
Fortigate 30d
gelöst Frage von meister00Router & Routing1 Kommentar

hallo ich habe eine fortigate 30d die bei uns als verteiler fungiert. sie ist auf transparent konfiguriert und unser ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 15 StundenMikroTik RouterOS5 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 15 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 17 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 22 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Festplatten, SSD, Raid
USB Stick recovery
Frage von petereFestplatten, SSD, Raid15 Kommentare

Hallo, ich habe einen defekten USB-Stick, der nicht mehr lesbar ist. Er wird in WIN als unbekanntes Volume mit ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...