Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

meine firewall: SuSe Linux 8.0 -> Filterung mit iptables (Ports 20,21,25 werden maskiert)

hab schon passiven mode zu laufen

aber wenn mein ftp-client (leechftp) den befehl LIST schickt, passiert erst ne weile nichts mehr und dann bekomme ich ne fehlermeldung.

bei andern clients gibt es auch diese probleme.

SAMBA habe ich (ich glaube) im Griff. Habe noch den Port 5337 erlaubt und jetzt funzt es.

Geschrieben

Hier die Regeln fuer einen Client.

  1. Aktives FTP

    Richtung: out
    lokal Port: >1023
    Remote Port: 21

    Richtung: in
    lokal Port: 20
    Remote Port: >1023

  2. Aktives FTP mit SSL
    Richtung: out
    lokal Port: >1023
    Remote Port: 990

    Richtung: in
    lokal Port: 989
    Remote Port: >1023

  3. Passives FTP
    Richtung: out
    lokal Port: >1023
    Remote Port: 21

    Richtung: out
    lokal Port: >1023
    Remote Port: >1023

  4. Passives FTP mit SSL
    Richtung: out
    lokal Port: >1023
    Remote Port: 990

    Richtung: out
    lokal Port: >1023
    Remote Port: >1023

  5. Port 25

    Er dient fuer SMTP, nicht fuer FTP.;)

    Richtung: out
    lokal Port: >1023
    Remote Port: 25

Fuer einen Server musst Du jeweils die Richtung und lokal/remote Port tauschen.

Hier die NetBIOS und SMB Regeln:

[*]Win9x/NT4: NetBIOS (Samba)

Richtung: in/out

lokal Port: 137,138

Remote Port: 137,138

Richtung: out

lokal Port: >1023

Remote Port: 139

Richtung: in

lokal Port: 139

Remote Port: >1023

[*]ab Win2k/XP zusaetzlich: SMB (Samba)

Richtung: out

lokal Port: >1023

Remote Port: 445

Richtung: in

lokal Port: 445

Remote Port: >1023

[/list=1]

Geschrieben

Ich habe noch mal den Verbindungsaufbau mit tcpdump angeschaut.

Kommunikation läuft zuerst mit Remote .ftp (ftp.server.de.ftp).

Dann (nach der Anmeldung) wird auf einen anderen Port gewechselt, der sich nicht vorhersagen lässt (z.B. 51137).

Auf meinem Client sind auch zwei Ports aktiv (beide größer als 1024). Der erste kommuniziert mit ftp und der zweite mit dem hohen Port des FTP-Servers.

Nach etwas Zeit wird dann die Verbindung unterbrochen.

Geschrieben
Originally posted by E-T

Ich habe noch mal den Verbindungsaufbau mit tcpdump angeschaut.

Kommunikation läuft zuerst mit Remote .ftp (ftp.server.de.ftp).

Dann (nach der Anmeldung) wird auf einen anderen Port gewechselt, der sich nicht vorhersagen lässt (z.B. 51137).

Auf meinem Client sind auch zwei Ports aktiv (beide größer als 1024). Der erste kommuniziert mit ftp und der zweite mit dem hohen Port des FTP-Servers.

Nach etwas Zeit wird dann die Verbindung unterbrochen.

Das ist so richtig.

Die Verbindung wird lokal ueber einen hohen Port zum FTP-control Port (21) hergestellt. Zum Download von Dateien ueber passives FTP wird dann eine zweite Verbindung lokal ueber einen hohen Port zu einem hohen Port des FTP-Servers geoeffnet.

Der Verbindungsabbruch nach Inaktivitaet ist ganz normal.

Das kannst Du mit einem Keep-alive (NOOP, LIST oder anderen FTP-Befehl) verhindern.

Geschrieben

Du musst die Ports nicht offen lassen. Die Firewall kennt das ftp-Protokoll und analysiert die einzelnen Requests. Wird dort ein Port ausgehandelt so wird dieser fuer die Dauer der Kommunikation von der Firewall geoeffnet und im Anschluss automatisch wieder geschlossen.

Nic

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...