10
Zwei FTP-Server hinter einer UTM 9 Software Appliance
Hallo,
ich habe das Problem das ich gerne zwei FTP-Server parallel auf einem Server betreiben will. Der eine läuft über den IIS-Manager und hört auf dem Port 21. Der zweite FTP-Server ist ein FileZilla Server und hört auf dem Port 8021.
In meiner UTM kann ich den FTP-Server über Port 21 einfach einrichten und auch problemlos von aussen erreichen.
Der FileZilla macht mir jedoch etwas Ärger. Ich habe in der UTM den Port 8021 freigegeben und auf den Server geleitet.
Die gute Nachricht ist, dass ich mich mit dem FileZilla verbinden kann. Die schlechte ist, das die UTM für den FileZilla den Datenport nicht öffnet. Ich bekomme den Inhalt des FTP nicht angezeigt und kann weder Dateien senden noch herunterladen.
Wie kann ich der UTM beibringen für den FileZilla den Datenport zu öffnen wie er es automatisch beim IIS-FTP auf Port 21 macht?
ich habe das Problem das ich gerne zwei FTP-Server parallel auf einem Server betreiben will. Der eine läuft über den IIS-Manager und hört auf dem Port 21. Der zweite FTP-Server ist ein FileZilla Server und hört auf dem Port 8021.
In meiner UTM kann ich den FTP-Server über Port 21 einfach einrichten und auch problemlos von aussen erreichen.
Der FileZilla macht mir jedoch etwas Ärger. Ich habe in der UTM den Port 8021 freigegeben und auf den Server geleitet.
Die gute Nachricht ist, dass ich mich mit dem FileZilla verbinden kann. Die schlechte ist, das die UTM für den FileZilla den Datenport nicht öffnet. Ich bekomme den Inhalt des FTP nicht angezeigt und kann weder Dateien senden noch herunterladen.
Wie kann ich der UTM beibringen für den FileZilla den Datenport zu öffnen wie er es automatisch beim IIS-FTP auf Port 21 macht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 302569
Url: https://administrator.de/contentid/302569
Printed on: April 18, 2024 at 13:04 o'clock
10 Comments
Latest comment
moin,
was sagen denn die Logs?
was sagen denn die Logs?
Moin,
hast du den Filezilla mal aus dem Lan getestet? Dein Bild klingt eher nach einem Berechtigungsproblem.
Gruß
hast du den Filezilla mal aus dem Lan getestet? Dein Bild klingt eher nach einem Berechtigungsproblem.
Gruß
Der FileZilla gibt folgendes aus
Die Firewall gibt folgendes aus.
10.0.2.250 Ist die lokale IP des FTP-Servers
10.0.0.121 ist die lokale IP des Clients (meine)
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> Connected on port 8021, sending welcome message...
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 220-FileZilla Server 0.9.56 beta
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 220-written by Tim Kosse (tim.kosse@filezilla-project.org)
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 220 Please visit https://filezilla-project.org/
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> AUTH TLS
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 502 Explicit TLS authentication not allowed
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> AUTH SSL
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 502 Explicit TLS authentication not allowed
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> USER ftpuser
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 331 Password required for ftpuser
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> PASS ***
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 230 Logged on
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> SYST
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 215 UNIX emulated by FileZilla
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> FEAT
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 211-Features:
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> MDTM
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> REST STREAM
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> SIZE
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> MLST type*;size*;modify*;
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> MLSD
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> UTF8
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> CLNT
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> MFMT
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> EPSV
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> EPRT
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 211 End
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> PWD
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 257 "/" is current directory.
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> TYPE I
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 200 Type set to I
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> PASV
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 227 Entering Passive Mode (10,0,2,250,23,142)
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> MLSD
(000019)22.04.2016 12:20:02 - ftpuser (10.0.0.121)> 425 Can't open data connection for transfer of "/"
(000019)22.04.2016 12:21:09 - ftpuser (10.0.0.121)> disconnected.Die Firewall gibt folgendes aus.
12:01:56 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34100 [SYN] len=52 ttl=127 tos=0x02 dstmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e
12:02:02 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34100 [SYN] len=48 ttl=127 tos=0x00 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e
12:07:48 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34254 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e
12:07:51 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34254 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e
12:07:57 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34254 [SYN] len=48 ttl=127 tos=0x00 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e
12:09:28 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34288 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e
12:09:31 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34288 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e
12:13:58 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34385 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e
12:14:01 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34385 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e
12:14:07 Standard-VERWERFEN TCP 10.0.2.250 : 8020 → 10.0.0.121 : 34385 [SYN] len=48 ttl=127 tos=0x00 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 10.0.0.121 ist die lokale IP des Clients (meine)
10.0.2.250 : 8020
Wenn man eine FTP-Verbindung herstellt, muss man bedenken, dass es nicht ausreicht, nur einen Port zu öffnen. Für eine erfolgreiche Verbindung braucht man beim FTP-Protokoll zwei offene Ports: 20 und 21.
Ein FTP-Port ist für Kontroll- und Kommandodaten verantwortlich.
Der andere für die Übertragung der Daten, die man eigentlich versenden oder empfangen möchte.
Außerdem ist es wichtig, darauf zu achten, ob die Verbindung passiv oder aktiv ist
Der andere für die Übertragung der Daten, die man eigentlich versenden oder empfangen möchte.
Außerdem ist es wichtig, darauf zu achten, ob die Verbindung passiv oder aktiv ist
Moin
im Passivmodus müssen noch ein paar Ports eingehend zum Filezilla zugelassen werden. Default ist 1024 aufwärts, kannst Du aber in den Filezilla Server-Einstellungen anpassen.
Hier steht noch etwas zu den Einstellungen: https://wiki.filezilla-project.org/Network_Configuration
Port 20 wird imho nur im Active-Mode ausgehend benötigt
Gruß
Bernhard
im Passivmodus müssen noch ein paar Ports eingehend zum Filezilla zugelassen werden. Default ist 1024 aufwärts, kannst Du aber in den Filezilla Server-Einstellungen anpassen.
Hier steht noch etwas zu den Einstellungen: https://wiki.filezilla-project.org/Network_Configuration
Port 20 wird imho nur im Active-Mode ausgehend benötigt
Gruß
Bernhard
Ich habe bereits alle Ports ab 1024 testweise freigegeben. Ich habe im Filezilla auch ports definiert und diese Freigegeben. Trotzdem blockiert die Firewall mir den zweiten Datenkanal.
Und was hast du mit 8020 gemacht?
Verwirft die Firewall eingehende oder ausgehende Pakete ?
Einfach mal den Wireshark anschmeissen und nachsehen... Da sieht man dann sofort und ohne Raterei was los ist !
Hallo,
wie genau hast du die verschiedenen Ports für den FTP 2 freigeben?
Soweit ich weiß müsste die Regel wie folgt lauten:
UTM --> Network Protection --> NAT
Neue NAT-Regel anlegen mit folgenden Parametern:
From "ANY" to "External Adress" --> "Ports auswählen" ---> Ziel ändern in "IP-FTP2"
Der Dienst bleibt identisch. Für mehrere Ports müssen eventuell mehrere Regeln erstellt werden!
Wichtig ist auch der Hacken bei "Automatische Firewallregel". Denn laut Screenshot wird der Traffic von FTP2 zurück zum Client gelockt!
Gruß ProvidedLan
wie genau hast du die verschiedenen Ports für den FTP 2 freigeben?
Soweit ich weiß müsste die Regel wie folgt lauten:
UTM --> Network Protection --> NAT
Neue NAT-Regel anlegen mit folgenden Parametern:
From "ANY" to "External Adress" --> "Ports auswählen" ---> Ziel ändern in "IP-FTP2"
Der Dienst bleibt identisch. Für mehrere Ports müssen eventuell mehrere Regeln erstellt werden!
Wichtig ist auch der Hacken bei "Automatische Firewallregel". Denn laut Screenshot wird der Traffic von FTP2 zurück zum Client gelockt!
Gruß ProvidedLan
