[a.borque]

Hallo!
Ich habe ein Netzwerk "übernommen", das über einen Draytek Vigor 2200E Router mit dem Internet verbunden ist. Die im Router integrierte Firewall ist aktiviert und bis auf FTP habe ich auch alle Dienste konfiguriert. Bisher hatte ich für FTP die Notlösung, dass ich über Port 80 einen Proxy angesprochen habe, der dann die Transfers ermöglichte, was aber in Zukunf nicht mehr gehen wird.
Jetzt habe ich versucht, mir via Google anzulesen, wie ich eine Firewall für FTP einrichten muss, bin aber kläglich gescheitert...
Port 20/21 zu öffnen ist ja noch kein Geheimnis, aber das alleine reicht -entgegen manchen "guten" Ratschlägen ja nicht. Was mache ich mit den Ports im höheren Bereich >1024, die später noch geöffnet werden müssen? Alle von überall freigeben erscheint mir absurd.
Wäre für einen praxisnahen (i.e. nicht auf abstrakte Diskussionen beschränkten) und funktionierenden Tip zum Thema FTP durch Firwalls dankbar.
Gruss - a.borque

[markus_83_nrw]

Da du einen Router hast must du den Router sagen, das er alle verbindungen die er nicht kennt an eine interne IP weiterleitet das heißt alles war er nicht kennt soll an den rechner weitergeleitet werden wo dein FTP drauf läuft. da die einstellung an jedem router anderslautet kann ich dir leider nicht sagen wie diese heißt.

Gruß Markus

[björn]

Hi, ich hoffe ich verstehe dich jetzt richtig, du willst wärend des FTP-Betriebs noch zusätzliche Ports nutzen, diese aber nur freischalten wenn sie benötigt werden?

Du könntest Portforwards einrichten, dann werden Pakete nur zu einer bestimmten zieladresse auf dein FTP weitergeleitet und nirgendswo anders hin
Bei meinem DLink Router nennt sich das ganze Virtual Server

Aber ich glaube das ist nicht ganz dein Problem, oder?

[puppet]

Port 20 brauchst du nur ausgehend zuzulassen, darüber wird keine Connection rein kommen.
Du benötigst nur Port 21 für FTP und evtl einen Port für SFTP (meist 990).
Zusätzlich benötigst du noch eine Port Range wenn du den PASV-Modus zulassen willst, bei jedem vernünftigen FTP Servern kann man diese Port Range einstellen.
In der iX 10/04 findest du ab Seite 102 etwas zu dem Thema FTP und Firewalls.

[a.borque]

Hi!
Danke schonmal für die vielen Antworten. Nochmal ganz kurz geprochen ist das Problem Folgendes:
Ich will Rechnern im internen Netz FTP-Zugriffe auf FTP-Server im Internet ermöglichen. Wenn ich nur Port 20/21 öffne, reicht das nicht aus, da ich einen weiteren Port >1024 brauche, der aber wohl zufällig gewählt wird. Wenn ich jetzt aber alle Ports >1024 öffne, kann ich mir IMHO die Firewall auch gleich ganz sparen.
Früher konnte ich das ganze über Port 80 mit Hilfe eines FTP-Proxies lösen, der vor der Firewall stand, jetzt aber abgebaut wird.
Wie kann ich also FTP erlauben, aber gleichzeitig den Schutz durch die Firewall erhalten?
Danke weiterhin...
Gruss - a.borque

[puppet]

Wie schon gesagt musst du nur die Control-Ports (Standard FTP Port 21, SFTP Port 990 usw) forwarden und falls du PASV erlaubst noch die PASV Ports (die du in deinem FTP Server einstellst).


Den Port 20 musst du nur ausgehend in deiner Firewall erlauben und established-sessions-in. Diesen Port musst du aber nicht forwarden.


Wenn der Server im LAN steht musst du noch die PASV IP eingeben die an den Client gesendet wird (da sonst die LAN-IP geschickt wird wenn der Recher hinter einem NAT hängt).

Dieser Beitrag wurde von puppet bearbeitet: 11. April 2005 - 15:08

[Rika]

Wo ist denn das Problem? Die standardmäßigen Etablished-Rules, Passive-Mode im FTP-Client einstellen und schon funzt das. Nix forwarden, rausgehende neue Verbindungen sollte man sowieso erlauben (und wenn nicht, dann bitte schön Port 20 und 21).

Dieser Beitrag wurde von Rika bearbeitet: 11. April 2005 - 19:26

[a.borque]

Zitat (Rika: 11.04.2005, 20:24)

Wo ist denn das Problem? Die standardmäßigen Etablished-Rules, [...]<{POST_SNAPBACK}>

Hi Rika!
Ich glaube, genau da ist das Problem. Was sind die "standardmäßigen E(s?)tablished-Rules"?
Wie muss ich im Router-Firewall die Ports >1024 behandeln, bzw. welche Regeln brauche ich denn nun für passives FTP? Deine Aussagen zu Port 20/21 sind auch schon wieder andere, als die, die ich bisher gelesen habe...
Gruss - a.borque

[Rika]

--src $me --dest $inet --flags SYN --state NEW ALLOW
--src $inet --dest $me --flags SYN,ACK --state RELATED ALLOW
--src $me --dest $int --flags ACK --state ESTABLISHED ALLOW

Das ist übrigens das, was der Router macht, wenn du den Paketfilter nicht aktivierst.
Kannst du in Kombination mit dem Paketfilter nicht nutzen oder nicht explizit aktivieren, auch keine FROM: $me TO: $inet ALLOW-Regel definieren (weil nicht möglich oder nicht willig), dann funktionieren viele gewollte Sachen im Netz einfach nicht mehr.

Bei FTP gibt's da konkret zwei Möglichkeiten:

Active-Mode: Du verbindest zum Server auf Port 21, dieser verbindet von Port 20 auf einen zufälligen Port zurück. Funzt selten, es sei denn der Router versteht rudimentär FTP und überschreibt die Daten im PORT-Befehl, baut damit aber auch eine Sicherheitslücke rein.

Passive-Mode: Du verbindest zum Server auf Port 21, teils im PASV mit und verbindest dich anschließend auf Port 20 des Servers und alle Verbindungen gehen somit nur von dir aus.