FTP + Firewall = Welche Ports

[Lord_Icon]

gelöst: FTP + Firewall = Welche Ports

Hi,

habe eigenen Server mit SLES 10.1. Dort läuft u.a. ein FTP Server.

Die Firewall ist so eingerichtet, das er Port 21 auch zuläßt.

Nur leider scheint das nur bedingt zu klappen.

SmartFTP (Client) versucht es als erstes im Passive Modus, was vom Server abgelehnt wird. Dann geht SmartFTP in den Aktiven Modus über und eine Verbindung wird sofort connectet.

Hier das SmartFTP Protokoll. IP Adressen sind verändert.

[11:46:33] SmartFTP v2.0.1002.2
[11:46:34] Resolving host name "domain.de"
[11:46:34] Connecting to 89.xxx.9.17 Port: 21
[11:46:34] Connected to domain.de.
[11:46:34] 220 (vsFTPd 2.0.4)
[11:46:34] USER ks011
[11:46:35] 331 Please specify the password.
[11:46:35] PASS (hidden)
[11:46:35] 230 Login successful.
[11:46:35] SYST
[11:46:35] 215 UNIX Type: L8
[11:46:35] Detected Server Type: UNIX
[11:46:35] FEAT
[11:46:35] 211-Features:
[11:46:35]  EPRT
[11:46:35]  EPSV
[11:46:35]  MDTM
[11:46:35]  PASV
[11:46:35]  REST STREAM
[11:46:35]  SIZE
[11:46:35]  TVFS
[11:46:35] 211 End
[11:46:35] PWD
[11:46:35] 257 "/"
[11:46:35] CWD /html
[11:46:35] 250 Directory successfully changed.
[11:46:35] PWD
[11:46:35] 257 "/html"
[11:46:35] TYPE A
[11:46:35] 200 Switching to ASCII mode.
[11:46:35] PASV
[11:46:35] 227 Entering Passive Mode (89,xxx,9,17,20,182)
[11:46:35] Opening data connection to 89.xxx.9.17 Port: 5302
[11:46:35] LIST -aL
[11:46:56] Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat.
[11:47:35] 425 Failed to establish connection.
[11:47:35] Automatic failover of data connection mode from "Passive Mode (PASV)" to "Active Mode (PORT)".
[11:47:35] PORT 192,168,0,35,213,172
[11:47:35] 200 PORT command successful. Consider using PASV.
[11:47:35] LIST -aL
[11:47:36] 150 Here comes the directory listing.
[11:47:36] 4566 bytes transferred. (278 KB/s) (16 ms)
[11:47:36] 226 Directory send OK.

Wenn ich Firewall deaktiver geht es auch im Passive Modus.

Was muß ich denn Einstellen, das der Passive auch "beantwortet" wird ?

 

[Centro]

Mach mal in dem Programm von dem du connectest den Haken bei

USE PASSIV MODE aus dann sollte es rocken!

Andersrum kannst du das gleiche mal bei dem Serverdienst testen.

Greetz Centro

 

[Lord_Icon]

Ja. Das das geht ist logisch.

Aber ein FTP Programm versucht es immer erst im Passiven Modus. Sicherlich kann man dies beeinflussen bzw. ändern.

Was hier aber nicht Sinn und Zweck der sache ist.

Ich möchte das Problem ja beheben und nicht umgehen.

Irgenwas muß ich in den Firewall Einstellungen vornehmen können, das auch eine Passive Anfrage beantwortet wird.

 

[Centro]

NE in der Firewall sagst du nur was du ihm für aktiv Ports freigibst! Nicht passive!

Ich habe dir bereits geschrieben das du ebenfalls die FTPSErver software nach use Active durchsuchen solltest!

Da SUSE 10.1 würde ich dir zum Glftpd oder zum Proftpd raten: glFTPd :: We make files transfer! oder ProFTPD: Home

Proftpd könntest du auch über Webmin administrieren wobei ich ein Glftpd fan bin! - Dort ist das alles gleich so wies sein soll!

Greetz Centro

 

[Rusticus]

Opening data connection to 89.xxx.9.17 Port: 5302

Schon probiert einfach den Port zu öffnen?

 

[Lord_Icon]

ne. Das klappt nicht. -brauche ich erst garnicht versuchen.

Den das FTP Programm wählt sich einen beliebigen Port zwischen 65000 (?) Ports aus. Ist also jedes mal ein anderer.

 

[Darkdream]

Du kannst die Portrange der Ports in der conf einstellen und auch nachlesen, welche das bei dir genau sind und dann die ganze Range durchleiten

Von der Clientseite kannst du die Ports auch limitieren.

 

[Lord_Icon]

ja. Aber das wäre glaube ich recht blödsinnig, DERARTIG viele Ports freizuschalten.

Wenn ich das richtig verstanden habe, ist der Aktive Modus eh besser, weil hier die ein (Port 21) und der ausgehende Port, der vom Server fest vorgeben wird durch die Firewall geschützt.

Beim Passiven Modus sucht sich das FTP Programm automatisch einen freien Post aus. Und der kann von 1024 - 65000 liegen.

Ergo = FTP Programm einfach gesagt, das nur aktive erlaubt ist. Und dann ist auch die Sicherheit wieder Gewährleistet. (wenn das überhaupt möglich ist ^^)

Trotzdem danke @all