Jump to content
Sign in to follow this  
loopback_28

public ftp hinter einer DMZ

Recommended Posts

Hallo zusammen,

 

ich habe die Aufgabe bekommen ein ftp server soll von aussen erreichbar sein und vom internen Netz.

Ich weiss nicht genau wie ich das anstellen soll

Vorhanden ist eine Checkpoint Firewall

Ich dachte als erster Schritt: ich konfiguriere auf der Checkpoint ein DMZ Interface mit public Ip Adressen.

Dann erstelle ich eine Regel

source = <any> und destination = <ip des FTP server> und als service nehme ich den Port 21.

Was muss ich noch machen, NAT oder ähnliches?

 

Danke im voraus und viele Grüsse

Share this post


Link to post

Erstmal langsam:

 

Was für eine Checkpoint, mit welchem Softwarestand?

 

Der FTP-Server ist eine neue, physikalische Maschine?

 

Hast du denn ein Interface auf der Checkpoint frei?

 

Grundsätzlich kannst du in der DMZ mit NAT arbeiten, oder direkt mit den öffentlichen IP-Adressen, dafür musst du dann aber bridgen (oder wie auch immer das Checkpoint heute nennt). Sicherheitstechnisch gibt es keinen Unterschied.

Share this post


Link to post

Für FTP brauchst Du einen Reverse-Proxy, da aktives FTP dynamisch zum File-Transfer neue Verbindungen öffnet. Da genügt ein simples Port-Forwarding nicht. Oder man muss eine ganze Gruppe von Ports freischalten und den FTP-Server so konfigurieren, nur diese Ports dynamisch zu verwenden.

 

-Zahni

Share this post


Link to post
Für FTP brauchst Du einen Reverse-Proxy, da aktives FTP dynamisch zum File-Transfer neue Verbindungen öffnet. Da genügt ein simples Port-Forwarding nicht. Oder man muss eine ganze Gruppe von Ports freischalten und den FTP-Server so konfigurieren, nur diese Ports dynamisch zu verwenden.

 

Das war früher mal so. Aktuelle Firewalls können (nicht verschlüsseltes FTP, bzw. FTP mit Plain Control Channel) mithören und automatisch übersetzen. Mittlerweile können das sogar die 50 CHF Router für Zuhause.

 

Anders sieht es bei FTP mit verschlüsseltem Control-Channel aus. Da muss der FTP-Server seine externe IP wissen (wenn er hinter NAT ist), und man muss einen Port-Range auf der Firewall freischalten.

Share this post


Link to post
Das war früher mal so. Aktuelle Firewalls können (nicht verschlüsseltes FTP, bzw. FTP mit Plain Control Channel) mithören und automatisch übersetzen. Mittlerweile können das sogar die 50 CHF Router für Zuhause.

 

Hm, dass beim PORT-Kommando die IP-Adresse geändert wird, kann ich mir noch vorstellen.

 

Aber bei mehreren gleichzeitigen Verbindungen mussen doch trotzdme mehere Ports weitergeleitet werden. Öffnet die Firewall die dann dynamisch ?

 

Kann man das irgendwo mal nachlesen ? Nur aus Interesse.

 

PS: 50 CHF-Router gibt es hier leider nicht ;) :D *duck*

Share this post


Link to post
Hm, dass beim PORT-Kommando die IP-Adresse geändert wird, kann ich mir noch vorstellen.

 

Aber bei mehreren gleichzeitigen Verbindungen mussen doch trotzdme mehere Ports weitergeleitet werden. Öffnet die Firewall die dann dynamisch?

 

Ja, das sollten eigentlich alle modernen Geräte kennen.

 

Das beste was ich auf die schnelle zu dem Thema gefunden hab:

 

Netfilter connection tracking and nat helper modules

 

NAT helper modules do some application specific NAT handling. Usually this includes on-the-fly manipulation of data. Think about the PORT command in FTP, where the client tells the server which ip/port to connect to. Thererfore a FTP helper module has to replace the ip/port after the PORT command in the FTP control connection.

 

If we are dealing with TCP, things get slightly more complicated. The reason is a possible change of the packet size (FTP example: The length of the string representing an IP/port tuple after the PORT command has changed). If we had to change the packet size, we have a syn/ack difference between left and right side of the NAT box. (i.e. if we had extended one packet by 4 octets, we have to add this offset to the TCP sequence number of each following packet)

Share this post


Link to post

Es ist eine UTM-1 Edge Chekpoint

Ein Interface sollte frei sein

Der FTP Server ist ein Physikalischer Rechner nicht neu, den gibt es bereits. soll jetzt aber in einer anderen Lokation integriert werden.

Softwarestand = 8.0.42x

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...