Jump to content

FTP Probleme mit 2003 SBS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Folks.

 

wir betreiben einen Windows 2003 Small Buisiness Server Standard mit 2 Netzwerkkarten und NAT mit eingschalteter Basisfirewall. Im Routing und RAS Konfigurationsmanaer ist die externe Schnittsteklle mit eingehenden und ausgehenden Filtern versehen um Dienste wie Internet, E-Mail, etc. und auch FTP zu gewährleisten.

Für FTP wurden als eingehende Filter TCP mit Quellports 20 und 21 (Quellnetzwerk, Zielnetzwerk und Zielports beliebig) und als ausgehende Filter TCP mit Zielports 20 und 21 (Quellnetzwerk, Zielnetzwerk und Quellports beliebig) geöffnet.

 

Wir benutzen den FTP Client FileZilla im aktiven Modus. Der Zugriff auf eine FTP-Seite hängt bei dem Versuch, die Verzeichnisstruktur abzurufen (LIST Befehl). Der Login funktioniert vorher aber. Schalten wir die Basisfirewall aus, werden die Verzeichnisse gelistet, es ist aber kein Upload möglich (nur download von der Seite), auch bei bestehenden Userrechten.

 

Auch mit dem Internet Explorer (passives FTP aus) ist kein Zugriff auf FTP-Seiten möglich.

 

VPN und WWW funktioniert zum Beispiel tadellos.

 

Mit unserem alten Server (Windows 2003 Enterprise, gleiche Einstellungen beim NAT und Routing und Filezilla Client) funktioniert es einwandfrei.

 

Hat jemand eine Idee, was man bei dem neuen Server tun müßte um FTP mit NAT und Basisfirewall zum laufen zu bekommen? Vielleicht irgendwelche versteckten Einstellungen die man mit dem alten Server abgleichen könnte.

 

Vielen Dank im Vorraus.

Link zu diesem Kommentar

Wofür benutzt Du die Filter ? Um interne Clients internetmässig einzuschränken und/oder den Zugriff von aussen nach innen einzuschränken ? Man benötigt keine Filter, um den Internetzugang zu ermöglichen (habe ich aber wahrscheinlich falsch verstanden). Und warum eingehende Filter auf der NAT-Schnittstelle ? Eigentlich werden auf NAT-Maschinen gar keine statischen Filter gesetzt, ich weiss jetzt aber auch nicht, was Du damit erreichen willst ...

Routing and Remote Access Blog : RRAS static packet filters - do's and don'ts

Funktioniert der Zugriff mit abgeschalteten Filtern aber eingeschalteter Basisfirewall ? Wenn Du dann die internen Clients einschränken möchtest, konfiguriere erstmal nur ausgehende Filter auf der externen Schnittstelle und teste. Ich nehme mal an, Du hast einen VPN-Server laufen und deswegen sind VPN-Filter aktiv ?! Und genau das ist der Grund, warum Du weitere Filter setzen musst ?! Benutzt Du den RRAS-Assistenten und wählst nur RAS/VPN aus, gibt der Assistent Dir die Möglichkeit, statische Filter zu setzen. Wählst Du allerdings NAT/VPN aus, wird nur die Basisfirewall angeboten, statische Filter dagegen nicht (es ist ein "Don´t" auf einem NAT-Router statische Filter einzusetzen). Ist aber auch nicht notwendig, weil die Basisfirewall alle Anfragen von aussen verwirft und zudem noch stateful ist, im Gegensatz zu den Paketfiltern. Um auf den VPN-Server zugreifen zu können, werden Redirections eingerichtet und nur diese Redirections machen die Ports des VPN-Servers überhaupt erreichbar (den Rest blockt die Basisfirewall mit Ausnahme der Antworten der von innen initiierten Verbindungen, FTP eingeschlossen, auch aktives FTP).

Der 2003 Server stellt den sogenannten "Gatewaydienst auf Anwendungsebene" zur Verfügung und ebenso ein Application Layer Gateway FTP Plugin, welches ermöglicht, dass aktives FTP durch das von Windows zur Verfügung gestellte NAT funktioniert. Läuft dieser Dienst nicht, kommt es auch zu der von Dir beschriebenen Symptomatik mit aktivem FTP. Für passives FTP sind Deine Filter falsch.

Eventuell hast Du die Filterkonfiguration hier her, was aber nur für 2000 gilt, da es dort noch keine Basisfirewall gab ...

Konfiguration von Eingabefiltern für Dienste, die hinter der Netzwerkadressübersetzung laufen

Ich würde Dir also empfehlen, nur die Basisfirewall laufen zu lassen, keine eingehenden Filter und wenn Deine Clients eingeschränkt werden sollen, eben nur entsprechende ausgehende Filter auf der externen Schnittstelle ...

Link zu diesem Kommentar

Vielen Dank schon mal für die Antwort.

 

Wir sind nun ein gutes Stück weitergekommen. Bei ausgeschalteten statischen Filtern und eingeschalteter Basisfirewall funktioniert zumindest das passive ftp. Ganz ohne Schutz soll das ganze ja nicht sein, also muss die Basisfirewall angeschaltet bleiben.

 

Hast du noch eine Idee woran es nun liegen kann, das active ftp nicht funktioniert (wird leider von einigen Seiten verlangt). Der ALG Dienst läuft übrigens (alg.exe).

Link zu diesem Kommentar

Hallo nochmal.

 

Ich hatte den RRAS Dienst beendet und neu konfiguriert. Das hattenicht geholfen. Es gibt keine weiteren Firewalls oder Routerfilter. Wie gesagt, mit dem alten Server (Windows 2003 Enterprise) geht es ja. Also muss das Problem beim neuen Server (Windows 2003 SBS) liegen.

 

Beim neu konfigurieren von RRAS habe ich übrigens sowohl den Wizzard in der Serververwaltung als auch den Wizzard, der direkt im Routing/RAS zu finden ist, ausprobiert.

Link zu diesem Kommentar
  • 4 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...