bigapplewaltz
Goto Top

Serve-U-FTP-Server, SFTP und Hardware-Router-NAT

Hallo!

Ich will einen kleinen FTP-Server auf SFTP-Basis aufbauen. Serve-U 6.0 habe ich installiert, normale Konten angelegt und die sind auch übers Internet erreichbar. Da aber bei normalem FTP ja die Benutzerpasswörter im Klartext übertragen werden, wollte ich eben SSL-Verbindungen (bzw. SFT) einrichten. Das klappt aber nicht. Das Zertifikat ist eingerichtet, wird auch beim Start der Seite mit z.B. Filezilla verlangt und eingebunden. Doch dann hakt die Verbindung. Ich bin zwar eingeloggt (das sehe ich im Activity-Log von Serve-U), doch Filezilla meint, er könne die Dateiliste nicht laden und bleibt einfach stehen.
Gemäß der FAQ von Rhinosoft.com geht das wegen der Router-NAT nicht (ich habe einen Teledat Router 830). Es heißt, dass die NAT die Verschlüsselung nicht dechriffieren kann, deshalb solle man die NAT deaktivieren.

Zitat: NOTE: if your FTP Client can connect with a regular session, but not with SSL enabled then we would recommend checking if there are any NAT enabled device between the FTP Client and Serv-U. The NAT translation is not able to understand the encrypted data being sent between the client and server and thus corrupts the data connection. Currently the only work arounds are to disable the NAT functionality or move Serv-U or the FTP Client in front of the NAT enabled device. Ende Zitat

So einen Rat hätte ich von denen schon nicht erwartet! Einfach die Firewall deaktivieren! Das kann ich einfach gar nicht glauben, dass das nicht gehen soll. Kann man nicht die NAT für SFTP öffnen, so dass die Daten eben doch gelesen werden können?
Oder gibt es andere Programme als Serve-U, die sowas von sich aus können?

Danke schonmal für Reaktionen!

Mfg Konrad

Content-Key: 11252

Url: https://administrator.de/contentid/11252

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: rge_
rge_ 31.05.2005 um 11:22:50 Uhr
Goto Top
NAT ist in erster Linie keine Firewall sondern übsetzt Netzwerkadressen, dies hat dann auch einen Firewalleffekt, da unangeforderte Datenpackete nicht weitergeleitet werden. Sehr vereinfachte Funktionsweise von NAT: NAT stellt vielen privaten IP adressen eine öffentliche zur Verfügung, das Protokoll merkt sich dann welche Datenpakete zu welcher IP gehören, um das zu bewerkstelligen ändert es den Header des jeweiligen Packets. Diese Änderung im Header mögen manche Sicherheitsprotokolle gar nicht. Ich weiss das es bei ipsec massive Probleme mit NAT gibt, kann sein das dies auch dein Problem ist.
Mitglied: BigAppleWaltz
BigAppleWaltz 31.05.2005 um 16:41:07 Uhr
Goto Top
Hallo,

danke für die Antwort. Die Alternative wäre ja dann, halt auf eine Software-Firewall umzustellen, was ich aber nicht so gerne mache, weil die Systeme dadurch doch ziemlich in die Knie gehen können - oder eine richtige Hardware-Firewall. Doch der Aufwand und die Kosten sind mir da ein bisschen zu hoch, nur, damit ich einen kleinen FTP-Server ins Netz stellen kann.

Mfg Konrad
Mitglied: rge_
rge_ 01.06.2005 um 01:21:39 Uhr
Goto Top
könntest ja versuchen dein FTP Server unter Linux einzurichten, das kannst du recht gut abschotten
Mitglied: acsgc827
acsgc827 20.03.2007 um 12:26:40 Uhr
Goto Top
Hallo,

nur kurz zur Begriffsbestimmung. Wenn es um FTP und SSL geht ist das nicht SFTP sondern FTPS. Ich weiß "Klug###er" aber das ist wichtig z.b. in Filezilla gibt es diese Unterscheidung. Nun zu Deinem Firewall Problem. Sind denn Ports offen für den Verbindungsaufbau und den Datenverkehr z.b. 22 und irgendein Bereich oberhalb 1024-5000. Diesen oberen Bereich sollte man im FTP Server als passive Portrange einstellen können. So wie sich das anhört funktioniert zwar der Verbindungsaufbau, die Datenverbindung wird aber durch die Firewall abgeblockt ( Cannot retrieve Directory Listing ) . Das wäre ein Ansatz.
Als Alternative würde ich SFTP also FTP over SSH verwenden. Dazu braucht man lediglich den Port für SSH aufmachen und alles andere wird durch diesen Tunnel abgewickelt. Einen entsprechenden Serverdienst gibt es auch Open-Source z.b. www.openssh.com. Ich gebe zu die Einrichtung ist etwas mühsam, aber funktioniert tadellos mit NAT etc.

mfg
Oliver
Mitglied: acsgc827
acsgc827 20.03.2007 um 13:29:17 Uhr
Goto Top
Der Serv-U FTP Server hat in der Secure Variante die SSL Verschlüsselung und unter Einstellungen\Erweitert kann man unter PASV Anschlüsse den oberen Portbereich einschränken bzw. definieren.

Gruß
Oliver