public ftp hinter einer DMZ

[loopback_28]

Hallo zusammen,

ich habe die Aufgabe bekommen ein ftp server soll von aussen erreichbar sein und vom internen Netz.
Ich weiss nicht genau wie ich das anstellen soll
Vorhanden ist eine Checkpoint Firewall
Ich dachte als erster Schritt: ich konfiguriere auf der Checkpoint ein DMZ Interface mit public Ip Adressen.
Dann erstelle ich eine Regel
source = <any> und destination = <ip des FTP server> und als service nehme ich den Port 21.
Was muss ich noch machen, NAT oder ähnliches?

Danke im voraus und viele Grüsse

[LukasB]

Erstmal langsam:

Was für eine Checkpoint, mit welchem Softwarestand?

Der FTP-Server ist eine neue, physikalische Maschine?

Hast du denn ein Interface auf der Checkpoint frei?

Grundsätzlich kannst du in der DMZ mit NAT arbeiten, oder direkt mit den öffentlichen IP-Adressen, dafür musst du dann aber bridgen (oder wie auch immer das Checkpoint heute nennt). Sicherheitstechnisch gibt es keinen Unterschied.

[zahni]

Für FTP brauchst Du einen Reverse-Proxy, da aktives FTP dynamisch zum File-Transfer neue Verbindungen öffnet. Da genügt ein simples Port-Forwarding nicht. Oder man muss eine ganze Gruppe von Ports freischalten und den FTP-Server so konfigurieren, nur diese Ports dynamisch zu verwenden.

-Zahni

[LukasB]

Zitat von zahni Für FTP brauchst Du einen Reverse-Proxy, da aktives FTP dynamisch zum File-Transfer neue Verbindungen öffnet. Da genügt ein simples Port-Forwarding nicht. Oder man muss eine ganze Gruppe von Ports freischalten und den FTP-Server so konfigurieren, nur diese Ports dynamisch zu verwenden.

Das war früher mal so. Aktuelle Firewalls können (nicht verschlüsseltes FTP, bzw. FTP mit Plain Control Channel) mithören und automatisch übersetzen. Mittlerweile können das sogar die 50 CHF Router für Zuhause.

Anders sieht es bei FTP mit verschlüsseltem Control-Channel aus. Da muss der FTP-Server seine externe IP wissen (wenn er hinter NAT ist), und man muss einen Port-Range auf der Firewall freischalten.

[zahni]

Zitat von LukasB Das war früher mal so. Aktuelle Firewalls können (nicht verschlüsseltes FTP, bzw. FTP mit Plain Control Channel) mithören und automatisch übersetzen. Mittlerweile können das sogar die 50 CHF Router für Zuhause.

Hm, dass beim PORT-Kommando die IP-Adresse geändert wird, kann ich mir noch vorstellen.

Aber bei mehreren gleichzeitigen Verbindungen mussen doch trotzdme mehere Ports weitergeleitet werden. Öffnet die Firewall die dann dynamisch ?

Kann man das irgendwo mal nachlesen ? Nur aus Interesse.

PS: 50 CHF-Router gibt es hier leider nicht *duck*

[LukasB]

Zitat von zahni Hm, dass beim PORT-Kommando die IP-Adresse geändert wird, kann ich mir noch vorstellen. Aber bei mehreren gleichzeitigen Verbindungen mussen doch trotzdme mehere Ports weitergeleitet werden. Öffnet die Firewall die dann dynamisch?

Ja, das sollten eigentlich alle modernen Geräte kennen.

Das beste was ich auf die schnelle zu dem Thema gefunden hab:

Netfilter connection tracking and nat helper modules

NAT helper modules do some application specific NAT handling. Usually this includes on-the-fly manipulation of data. Think about the PORT command in FTP, where the client tells the server which ip/port to connect to. Thererfore a FTP helper module has to replace the ip/port after the PORT command in the FTP control connection. If we are dealing with TCP, things get slightly more complicated. The reason is a possible change of the packet size (FTP example: The length of the string representing an IP/port tuple after the PORT command has changed). If we had to change the packet size, we have a syn/ack difference between left and right side of the NAT box. (i.e. if we had extended one packet by 4 octets, we have to add this offset to the TCP sequence number of each following packet)

[zahni]

Danke, Ich werde mich mal nach meinem Urlaub etwas einlesen...

[loopback_28]

Es ist eine UTM-1 Edge Chekpoint
Ein Interface sollte frei sein
Der FTP Server ist ein Physikalischer Rechner nicht neu, den gibt es bereits. soll jetzt aber in einer anderen Lokation integriert werden.
Softwarestand = 8.0.42x