Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Port 21 auf ner FortiGate 60C

Frage Linux Linux Netzwerk

Mitglied: littleguitar

littleguitar (Level 1) - Jetzt verbinden

01.11.2010 um 03:00 Uhr, 6040 Aufrufe, 8 Kommentare

Hallo zusammen,

ich bin freiberuflich im Bereich Netzwerk und Systemadministration zuständig und in letzter Zeit etwas verstärkt mit den Appliances von Fortinet betreut. Da hab ich in der Arbeit mit den Geräten eine für mich etwas merkwürdige Beobachtugn gemacht aber wohlmöglich hab ich auch anderweitig etwas übersehen.

Undzwar möchte ich ganze gerne Port21 forwarden um den FTP unserer NAS im eigens dafür eingerichteten VLAN von außen ansprechbar zu machen. Kurios ist für mich erstmal das ich leider den Port21 nicht offen bekomme egal was ich veranstalte.
Ich kann diverse Ports öffnen so beispielsweise Port 22 oder wahlweise auch andere und verifiziere ob diese geöffnet sind mittels diverser Postscanner. Dazu lasse ich dann jeweils testweise einen Dienst auf dem jeweiligen Port lauschen und weigesagt bei Port21 verweigert mir die Forti das Forwarding als wenn irgendwo n Geisterdienst bereits auf diesem Port laufen würde. Eventuell habt ihr ja nen Tip für mich denn im Augenblick steh ich da gewissermaßen vor einem Rätsel.
Mitglied: StefanKittel
01.11.2010 um 07:43 Uhr
Moin,

erscheint denn eine Fehlermeldung?
Außerdem mußt Du bedenken, dass Du für FTP nicht nur den Kontroll-Port 21 benötigst sondern auch die Datenports. Diese werden dynamisch vom FTP Server vergeben, der dazu auch Deine öffentliche IP wissen muss.

Stefan
Bitte warten ..
Mitglied: aqui
01.11.2010 um 08:53 Uhr
FTP besteht immer aus 2Ports !! TCP 20 und TCP 21 ! Vermutlich tappst du in diese Falle ?!
Nur mit 21 kannst du arbeiten wenn deine Clients FTP im Passive Mode Supporten.
http://slacksite.com/other/ftp.html
Bitte warten ..
Mitglied: StefanKittel
01.11.2010 um 10:59 Uhr
"The confusion begins however, when we find that depending on the mode, the data port is not always on port 20. "
Bitte warten ..
Mitglied: littleguitar
01.11.2010 um 11:47 Uhr
Möglicherweise hab ich mich etwas missverständlich ausgedrückt. Das aktiv FTP mehr als nur Port 21 zur Kommuikation benötigt ist mir schon klar aber das ist nicht die Crux in der Sache.
Denn als ich mich gestern damit beschäftigt habe eben weil ich permanent ein Connection Refused vom FTP Client bekam bei dem Versuch mich mit dem FTP Server der NAS zu verbinden ist mir eben aufgefallen das ich Port21 ganz explizit nicht geöffnet bekomme. Wenn ich den Serverport des FTP Servers hingegen ändere auf sagen wir 60000 bekomme ich passiv auch die Verbindung bei entsprechender Änderung der Virtual IP Einstellung in der Fortigate.

Woran es scheitert ist das wenn ich Port21 forwarde ich ja zumindest in der Lage sein sollte den offenen Zustand des Ports über einen der vielen Portscanner zu verifizieren. Leider aber ist Port21 immer dicht wohingegen ich bei dem Versuch andere Ports zu öffnen die entsprechende Bestätigung über den Portscanner erhalte das diese von außen erreichbar sind. Das ist es halt was ich nicht verstehe denn die FTP Verbindung als solche ist ja noch einen Schritt weiter aber das Port21 sich absolut nicht öffnen lässt als wäre der Port in irgendeiner Art und Weise belegt bereitet mir Kopf zerbrechen.
Bitte warten ..
Mitglied: aqui
01.11.2010 um 13:29 Uhr
Dann hast du ganz klar ein Problem auf der Fortigate, das die diesne Port nicht forwardet. Eine andere Schlussfolgerung kann es nicht geben !

Was klar sein muss sind folgende Fakten:
  • Das NAS muss zwingend den FTP Passive Mode supporten !
  • Der FTP Client muss zwingend den FTP Passive Mode supporten ! Gut zum Test sind z.B. der Firefox Browser mit ftp://... im URL Fenster denn der nutzt immer den Passive Modus !
  • Der FTP Zugang sollte zwingend vorher im lokalen Netz direkt am NAS getestet werden im Passive Mode um sicherzugehen das das NAS Passive Mode kann.

Kannst du diese 3 Punkte sicher ausschliessen hast du entweder ein Konfig Problem oder einen Bug auf der Fortigate. Zu vermuten ist eher ersteres...
Bitte warten ..
Mitglied: littleguitar
01.11.2010 um 14:03 Uhr
So Entwarnung ich habs mittlerweile lösen können. Ich hab mal die Konfiguration der FritzBox überprüft an die die Forti als Exposed Host (DMZ) angebunden ist. Nach dem letzten Firmware Update der Fritze hat sich ein neues Feature eingeschlichen das NAS ähnliche Dienste bereitstellt darunter eben auch FTP und aufgrund dessen war Port 21 belegt *seufz*

Nun jetzt funktioniert die Verbindung wenn ich Port21 an der Forti weiterreiche ohne Probleme. Ich hätte allerdings ganz gerne Explicit Secure FTP aktiviert und dabei verweigert mir der FTP die Verbindung mit der Fehlermeldung
"Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse." danach dann Timeout.

Hier hab ich offenbar noch n Fehler drin. Explicit Secure FTP läuft doch nach wie vor über Port21. Also müsste ich doch im Prinzip lediglich Port20,21 und ggf. den vorher festgelegten PASSIV Portrange an die NAS über die Forti forwarden oder fehlt noch etwas?
Bitte warten ..
Mitglied: aqui
01.11.2010 um 14:30 Uhr
Vergiss doch die doofe FB und konfiguriere die nur als dummes Modem (PPPoE Passthrough) oder kaufe dir ein nur DSL Modem !
Damit ersparts du dir die sinnvole PFW Frickelei mit einem Router davor.
Die Fortigate kann doch selber PPPoE direkt und da macht ein kompletter Router davor doch gar keinen Sinn !
Ein simples Modem oder die FB im PPPoE Passthrough Modus erleichtert dir das Leben ungemein !


Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
Bitte warten ..
Mitglied: littleguitar
01.11.2010 um 14:41 Uhr
Viel mehr macht sie ja auch nicht. Die FritzBox wählt die PPPoE Verbindung dafür taugt se auch ganz gut reicht aber alles ungefilter an die Forti weiter. Die FritzBox nennt das Exposed Host ist aber nich viel anders als würde man die Forti an eine DMZ hängen. Hat denn jemand noch n Tip bezüglich Secure FTP Explicit? Weil sonst mach ich wie von dir gefordert zu und bezeichen das hier als gelöst

Danke schonmal.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Netzwerke
VPN nur für bestimmte Port(s) verwenden unter Win10 (1)

Frage von Bluebrain zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...