Jump to content

public ftp hinter einer DMZ


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich habe die Aufgabe bekommen ein ftp server soll von aussen erreichbar sein und vom internen Netz.

Ich weiss nicht genau wie ich das anstellen soll

Vorhanden ist eine Checkpoint Firewall

Ich dachte als erster Schritt: ich konfiguriere auf der Checkpoint ein DMZ Interface mit public Ip Adressen.

Dann erstelle ich eine Regel

source = <any> und destination = <ip des FTP server> und als service nehme ich den Port 21.

Was muss ich noch machen, NAT oder ähnliches?

 

Danke im voraus und viele Grüsse

Link zu diesem Kommentar

Erstmal langsam:

 

Was für eine Checkpoint, mit welchem Softwarestand?

 

Der FTP-Server ist eine neue, physikalische Maschine?

 

Hast du denn ein Interface auf der Checkpoint frei?

 

Grundsätzlich kannst du in der DMZ mit NAT arbeiten, oder direkt mit den öffentlichen IP-Adressen, dafür musst du dann aber bridgen (oder wie auch immer das Checkpoint heute nennt). Sicherheitstechnisch gibt es keinen Unterschied.

Link zu diesem Kommentar
Für FTP brauchst Du einen Reverse-Proxy, da aktives FTP dynamisch zum File-Transfer neue Verbindungen öffnet. Da genügt ein simples Port-Forwarding nicht. Oder man muss eine ganze Gruppe von Ports freischalten und den FTP-Server so konfigurieren, nur diese Ports dynamisch zu verwenden.

 

Das war früher mal so. Aktuelle Firewalls können (nicht verschlüsseltes FTP, bzw. FTP mit Plain Control Channel) mithören und automatisch übersetzen. Mittlerweile können das sogar die 50 CHF Router für Zuhause.

 

Anders sieht es bei FTP mit verschlüsseltem Control-Channel aus. Da muss der FTP-Server seine externe IP wissen (wenn er hinter NAT ist), und man muss einen Port-Range auf der Firewall freischalten.

Link zu diesem Kommentar
Das war früher mal so. Aktuelle Firewalls können (nicht verschlüsseltes FTP, bzw. FTP mit Plain Control Channel) mithören und automatisch übersetzen. Mittlerweile können das sogar die 50 CHF Router für Zuhause.

 

Hm, dass beim PORT-Kommando die IP-Adresse geändert wird, kann ich mir noch vorstellen.

 

Aber bei mehreren gleichzeitigen Verbindungen mussen doch trotzdme mehere Ports weitergeleitet werden. Öffnet die Firewall die dann dynamisch ?

 

Kann man das irgendwo mal nachlesen ? Nur aus Interesse.

 

PS: 50 CHF-Router gibt es hier leider nicht ;) :D *duck*

Link zu diesem Kommentar
Hm, dass beim PORT-Kommando die IP-Adresse geändert wird, kann ich mir noch vorstellen.

 

Aber bei mehreren gleichzeitigen Verbindungen mussen doch trotzdme mehere Ports weitergeleitet werden. Öffnet die Firewall die dann dynamisch?

 

Ja, das sollten eigentlich alle modernen Geräte kennen.

 

Das beste was ich auf die schnelle zu dem Thema gefunden hab:

 

Netfilter connection tracking and nat helper modules

 

NAT helper modules do some application specific NAT handling. Usually this includes on-the-fly manipulation of data. Think about the PORT command in FTP, where the client tells the server which ip/port to connect to. Thererfore a FTP helper module has to replace the ip/port after the PORT command in the FTP control connection.

 

If we are dealing with TCP, things get slightly more complicated. The reason is a possible change of the packet size (FTP example: The length of the string representing an IP/port tuple after the PORT command has changed). If we had to change the packet size, we have a syn/ack difference between left and right side of the NAT box. (i.e. if we had extended one packet by 4 octets, we have to add this offset to the TCP sequence number of each following packet)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...