Unternehmen     Impressum     Kontakt
+ Antworten
Ergebnis 1 bis 3 von 3

Thema: Firewall-Settings für sFTP?

  1. 07.10.2008 11:26 #1
    Ebi
    Ebi ist offline Registered User
    Registriert seit
    Jul 2004
    Beiträge
    173

    Question Firewall-Settings für sFTP?

    Hallo,

    wir experimentieren hier gerade ein wenig mit sFTP-Verbindungen herum und sind dabei auf ein Problem im Zusammenhang mit der Intranator-Firewall gestoßen.

    Hat der Client Vollzugriffsrechte ist eine problemloste SSL-verschlüsselte FTP-Kommunikation mit dem Server möglich, dieser erscheint damit korrekt konfiguriert.

    Sind dem Client nur Zugriffsrechte für FTP-Kommunikation eingeräumt so funktioniert zwar die Control-Channel-Kommunikation (sprich das Einloggen), aber das nachfolgende PORT-Kommando versagt. Im Messages-Log sind denn auch 3 Deny-Einträge pro Versuch für den Client zu finden.


    Code:
    DENY IN=eth0 OUT=eth1 SRC=Client-IP DST=FTP-Server-IP LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=2479 DF PROTO=TCP SPT=50330 DPT=50999 WINDOW=8192 RES=0x00 SYN URGP=0
DENY IN=eth0 OUT=eth1 SRC=Client-IP DST=FTP-Server-IP LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=2481 DF PROTO=TCP SPT=50330 DPT=50999 WINDOW=8192 RES=0x00 SYN URGP=0
DENY IN=eth0 OUT=eth1 SRC=Client-IP DST=FTP-Server-IP LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=2531 DF PROTO=TCP SPT=50333 DPT=51000 WINDOW=8192 RES=0x00 SYN URGP=0
    Leider wechseln die Ports bei jedem Kommunikationsversuch, so dass es nicht möglich erscheint, hier einzelne Ports festzulegen.

    Vielleicht seh ich auch grad nur den Wald vor lauter Bäumen nicht, aber vielleicht könnten Sie mir hier noch nen Tipp geben, wie die Firewall korrekt für diese Fragestellung konfiguriert werden kann.

    Liebe Grüße,
    Jens Eberhardt
    Zitieren Zitieren
  2. 07.10.2008 14:06 #2
    Gerd von Egidy
    Gerd von Egidy ist offline Administrator
    Registriert seit
    Dec 2001
    Ort
    Tübingen
    Beiträge
    953
    Hallo,

    FTP benötigt ja 2 Verbindungen: die Kontrollverbindung für die Befehle und die Datenverbindung für das eigentliche Versenden der Dateien. Normalerweise lauscht der Intranator, was über die Kontrollverbindung für Ports ausgehandelt werden, und macht dann diese speziellen Ports in der Firewall auf.

    Wenn jetzt allerdings die Kontrollverbindung verschlüsselt ist, kann der Intranator nicht mehr mitlauschen und daher auch keine Ports aufmachen. Deshalb schlägt die Verbindung fehl.

    Ich würde Ihnen empfehlen, anstatt dem SSL-verschlüssten FTP es lieber mit WebDAV zu versuchen. Das läuft über ganz normale HTTPS-Verbindungen und braucht keine separaten Verbindungen oder extra Ports. Die meisten Webserver (z.B. IIS, Apache) können das von Haus aus.

    Herzliche Grüße,

    v. Egidy
    Zitieren Zitieren
  3. 13.10.2008 10:08 #3
    Ebi
    Ebi ist offline Registered User
    Registriert seit
    Jul 2004
    Beiträge
    173
    Vielen Dank für den Tipp. Hab zwar WebDAV immer mal wieder gelesen gehabt, mich aber nie wirklich damit beschäftigt. Haben jetzt eine schöne, firewallfreundliche und sichere Portallösung basteln können, bis zu der wir per FTP niemals gekommen wären.

    Gruß aus Thüringen,
    Jens Eberhardt
    Zitieren Zitieren
+ Antworten
« Vorheriges Thema | Nächstes Thema »

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln