Jump to content
Sign in to follow this  
graogramar666

FTP Probleme mit 2003 SBS

Recommended Posts

Hi Folks.

 

wir betreiben einen Windows 2003 Small Buisiness Server Standard mit 2 Netzwerkkarten und NAT mit eingschalteter Basisfirewall. Im Routing und RAS Konfigurationsmanaer ist die externe Schnittsteklle mit eingehenden und ausgehenden Filtern versehen um Dienste wie Internet, E-Mail, etc. und auch FTP zu gewährleisten.

Für FTP wurden als eingehende Filter TCP mit Quellports 20 und 21 (Quellnetzwerk, Zielnetzwerk und Zielports beliebig) und als ausgehende Filter TCP mit Zielports 20 und 21 (Quellnetzwerk, Zielnetzwerk und Quellports beliebig) geöffnet.

 

Wir benutzen den FTP Client FileZilla im aktiven Modus. Der Zugriff auf eine FTP-Seite hängt bei dem Versuch, die Verzeichnisstruktur abzurufen (LIST Befehl). Der Login funktioniert vorher aber. Schalten wir die Basisfirewall aus, werden die Verzeichnisse gelistet, es ist aber kein Upload möglich (nur download von der Seite), auch bei bestehenden Userrechten.

 

Auch mit dem Internet Explorer (passives FTP aus) ist kein Zugriff auf FTP-Seiten möglich.

 

VPN und WWW funktioniert zum Beispiel tadellos.

 

Mit unserem alten Server (Windows 2003 Enterprise, gleiche Einstellungen beim NAT und Routing und Filezilla Client) funktioniert es einwandfrei.

 

Hat jemand eine Idee, was man bei dem neuen Server tun müßte um FTP mit NAT und Basisfirewall zum laufen zu bekommen? Vielleicht irgendwelche versteckten Einstellungen die man mit dem alten Server abgleichen könnte.

 

Vielen Dank im Vorraus.

Share this post


Link to post
Share on other sites

Wofür benutzt Du die Filter ? Um interne Clients internetmässig einzuschränken und/oder den Zugriff von aussen nach innen einzuschränken ? Man benötigt keine Filter, um den Internetzugang zu ermöglichen (habe ich aber wahrscheinlich falsch verstanden). Und warum eingehende Filter auf der NAT-Schnittstelle ? Eigentlich werden auf NAT-Maschinen gar keine statischen Filter gesetzt, ich weiss jetzt aber auch nicht, was Du damit erreichen willst ...

Routing and Remote Access Blog : RRAS static packet filters - do's and don'ts

Funktioniert der Zugriff mit abgeschalteten Filtern aber eingeschalteter Basisfirewall ? Wenn Du dann die internen Clients einschränken möchtest, konfiguriere erstmal nur ausgehende Filter auf der externen Schnittstelle und teste. Ich nehme mal an, Du hast einen VPN-Server laufen und deswegen sind VPN-Filter aktiv ?! Und genau das ist der Grund, warum Du weitere Filter setzen musst ?! Benutzt Du den RRAS-Assistenten und wählst nur RAS/VPN aus, gibt der Assistent Dir die Möglichkeit, statische Filter zu setzen. Wählst Du allerdings NAT/VPN aus, wird nur die Basisfirewall angeboten, statische Filter dagegen nicht (es ist ein "Don´t" auf einem NAT-Router statische Filter einzusetzen). Ist aber auch nicht notwendig, weil die Basisfirewall alle Anfragen von aussen verwirft und zudem noch stateful ist, im Gegensatz zu den Paketfiltern. Um auf den VPN-Server zugreifen zu können, werden Redirections eingerichtet und nur diese Redirections machen die Ports des VPN-Servers überhaupt erreichbar (den Rest blockt die Basisfirewall mit Ausnahme der Antworten der von innen initiierten Verbindungen, FTP eingeschlossen, auch aktives FTP).

Der 2003 Server stellt den sogenannten "Gatewaydienst auf Anwendungsebene" zur Verfügung und ebenso ein Application Layer Gateway FTP Plugin, welches ermöglicht, dass aktives FTP durch das von Windows zur Verfügung gestellte NAT funktioniert. Läuft dieser Dienst nicht, kommt es auch zu der von Dir beschriebenen Symptomatik mit aktivem FTP. Für passives FTP sind Deine Filter falsch.

Eventuell hast Du die Filterkonfiguration hier her, was aber nur für 2000 gilt, da es dort noch keine Basisfirewall gab ...

Konfiguration von Eingabefiltern für Dienste, die hinter der Netzwerkadressübersetzung laufen

Ich würde Dir also empfehlen, nur die Basisfirewall laufen zu lassen, keine eingehenden Filter und wenn Deine Clients eingeschränkt werden sollen, eben nur entsprechende ausgehende Filter auf der externen Schnittstelle ...

Share this post


Link to post
Share on other sites

Vielen Dank schon mal für die Antwort.

 

Wir sind nun ein gutes Stück weitergekommen. Bei ausgeschalteten statischen Filtern und eingeschalteter Basisfirewall funktioniert zumindest das passive ftp. Ganz ohne Schutz soll das ganze ja nicht sein, also muss die Basisfirewall angeschaltet bleiben.

 

Hast du noch eine Idee woran es nun liegen kann, das active ftp nicht funktioniert (wird leider von einigen Seiten verlangt). Der ALG Dienst läuft übrigens (alg.exe).

Share this post


Link to post
Share on other sites

Auch auf dem Server funktioniert der aktive modus mit filezilla nicht (nur passiv).

 

Mit dem Kommandozeilen ftp kann man sich zwar mit dem Server verbinden (wie auch im active filezilla) aber der List befehl schlägt fehl

 

Ausgabe nach 'ls':

 

200 Port command succesfully

 

danach hänger.

Share this post


Link to post
Share on other sites

Hallo nochmal.

 

Danke für die Antwort. Habe nun endlich Zeit gefunden deinen Vorschlag zu behandeln. Allerdings hat es nicht funktioniert. FTP verweigert nach wie vor den aktiven Dienst. Hast du eventuell noch eine Idee?

Share this post


Link to post
Share on other sites

Welchen Vorschlag meinst ? RRAS erneut konfiguriert ? Läuft da eigentlich auch noch eine andere Firewall auf dem Server ? Oder Filter auf einem eventuell davor stehenden Router ? Wenn ein Router vorhanden ist: Kannst Du ohne Beteiligung des RRAS (also direkt am Router angeschlossen) aktives FTP machen ?

Share this post


Link to post
Share on other sites

Hallo nochmal.

 

Ich hatte den RRAS Dienst beendet und neu konfiguriert. Das hattenicht geholfen. Es gibt keine weiteren Firewalls oder Routerfilter. Wie gesagt, mit dem alten Server (Windows 2003 Enterprise) geht es ja. Also muss das Problem beim neuen Server (Windows 2003 SBS) liegen.

 

Beim neu konfigurieren von RRAS habe ich übrigens sowohl den Wizzard in der Serververwaltung als auch den Wizzard, der direkt im Routing/RAS zu finden ist, ausprobiert.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...