etreu Geschrieben 10. Februar 2003 Geschrieben 10. Februar 2003 1. FTP ausser 20,21 und 25 2. SAMBA (SMB) ausser 137, 138, 139 Problem: meine Firewall funzt nicht ganz richtig. Oben genannte Ports sind offen, trotzdem gibts Probleme.
Gast Geschrieben 10. Februar 2003 Geschrieben 10. Februar 2003 verrat doch mal bitte mehr von deiner konfiguration. OS, ftp-server/client, halt alles was uns weiterhelfen kann. welche firewall? was ist der genaue fehler?
nic_power Geschrieben 10. Februar 2003 Geschrieben 10. Februar 2003 Falls es beim ftp Probleme gibt, versuchs mal im passive mode. Nic
etreu Geschrieben 11. Februar 2003 Autor Geschrieben 11. Februar 2003 meine firewall: SuSe Linux 8.0 -> Filterung mit iptables (Ports 20,21,25 werden maskiert) hab schon passiven mode zu laufen aber wenn mein ftp-client (leechftp) den befehl LIST schickt, passiert erst ne weile nichts mehr und dann bekomme ich ne fehlermeldung. bei andern clients gibt es auch diese probleme. SAMBA habe ich (ich glaube) im Griff. Habe noch den Port 5337 erlaubt und jetzt funzt es.
hades Geschrieben 11. Februar 2003 Geschrieben 11. Februar 2003 Hier die Regeln fuer einen Client. Aktives FTP Richtung: out lokal Port: >1023 Remote Port: 21 Richtung: in lokal Port: 20 Remote Port: >1023Aktives FTP mit SSL Richtung: out lokal Port: >1023 Remote Port: 990 Richtung: in lokal Port: 989 Remote Port: >1023Passives FTP Richtung: out lokal Port: >1023 Remote Port: 21 Richtung: out lokal Port: >1023 Remote Port: >1023Passives FTP mit SSL Richtung: out lokal Port: >1023 Remote Port: 990 Richtung: out lokal Port: >1023 Remote Port: >1023Port 25 Er dient fuer SMTP, nicht fuer FTP. Richtung: out lokal Port: >1023 Remote Port: 25 Fuer einen Server musst Du jeweils die Richtung und lokal/remote Port tauschen. Hier die NetBIOS und SMB Regeln: [*]Win9x/NT4: NetBIOS (Samba) Richtung: in/out lokal Port: 137,138 Remote Port: 137,138 Richtung: out lokal Port: >1023 Remote Port: 139 Richtung: in lokal Port: 139 Remote Port: >1023 [*]ab Win2k/XP zusaetzlich: SMB (Samba) Richtung: out lokal Port: >1023 Remote Port: 445 Richtung: in lokal Port: 445 Remote Port: >1023 [/list=1]
etreu Geschrieben 11. Februar 2003 Autor Geschrieben 11. Februar 2003 werde ich sobald wie möglich testen
etreu Geschrieben 11. Februar 2003 Autor Geschrieben 11. Februar 2003 Ich habe noch mal den Verbindungsaufbau mit tcpdump angeschaut. Kommunikation läuft zuerst mit Remote .ftp (ftp.server.de.ftp). Dann (nach der Anmeldung) wird auf einen anderen Port gewechselt, der sich nicht vorhersagen lässt (z.B. 51137). Auf meinem Client sind auch zwei Ports aktiv (beide größer als 1024). Der erste kommuniziert mit ftp und der zweite mit dem hohen Port des FTP-Servers. Nach etwas Zeit wird dann die Verbindung unterbrochen.
hades Geschrieben 12. Februar 2003 Geschrieben 12. Februar 2003 Originally posted by E-T Ich habe noch mal den Verbindungsaufbau mit tcpdump angeschaut. Kommunikation läuft zuerst mit Remote .ftp (ftp.server.de.ftp). Dann (nach der Anmeldung) wird auf einen anderen Port gewechselt, der sich nicht vorhersagen lässt (z.B. 51137). Auf meinem Client sind auch zwei Ports aktiv (beide größer als 1024). Der erste kommuniziert mit ftp und der zweite mit dem hohen Port des FTP-Servers. Nach etwas Zeit wird dann die Verbindung unterbrochen. Das ist so richtig. Die Verbindung wird lokal ueber einen hohen Port zum FTP-control Port (21) hergestellt. Zum Download von Dateien ueber passives FTP wird dann eine zweite Verbindung lokal ueber einen hohen Port zu einem hohen Port des FTP-Servers geoeffnet. Der Verbindungsabbruch nach Inaktivitaet ist ganz normal. Das kannst Du mit einem Keep-alive (NOOP, LIST oder anderen FTP-Befehl) verhindern.
etreu Geschrieben 12. Februar 2003 Autor Geschrieben 12. Februar 2003 Mein Problem ist der hohe Port des Servers. Was bringt eine Firewall wenn ich die hohen Ports offen lassen müsste? Wie kann ich das umgehen?
nic_power Geschrieben 12. Februar 2003 Geschrieben 12. Februar 2003 Du musst die Ports nicht offen lassen. Die Firewall kennt das ftp-Protokoll und analysiert die einzelnen Requests. Wird dort ein Port ausgehandelt so wird dieser fuer die Dauer der Kommunikation von der Firewall geoeffnet und im Anschluss automatisch wieder geschlossen. Nic
etreu Geschrieben 12. Februar 2003 Autor Geschrieben 12. Februar 2003 Ich Filter meine Pakete mit iptables von Hand. Da geht nichts automatisch!
nic_power Geschrieben 13. Februar 2003 Geschrieben 13. Februar 2003 Dafür gibt es das connection tracking der iptables: http://www.linuxchix.org/content/courses/security/connection_tracking Das solltest Du fuer die ftp-ports einschalten. Nic
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden