Jump to content

FTP über http connect methode mit isa 2006 bzw. Forefront TMG


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo alle zusammen,

 

ist es möglich mit dem ISA 2006 FTP über die http connect Methode wie viel FTP Clints anbieden zu machen.

 

wenn ja was ist zu tun aktuell kommt immer folgende Meldung:

 

Proxy-Antwort: HTTP/1.1 502 Proxy Error ( Der angegebene SSL-Port ist nicht zulässig. Forefront TMG wurde nicht zur Unterstützung von SSL-Anforderungen von diesem Port konfiguriert. Die meisten Webbrowser verwenden Port 443 für SSL-Anforderungen. )

 

Gruß

 

madbest

 

--keiner ist perfekt--

Link zu diesem Kommentar
  • 6 Monate später...

SSL Connect´sollte aus Sicherheitsgründen nur für Port 443 erlaubt sein.

Sonst kann mit passenden Tools (z.B. httport) die Firwall umgangen werden.

 

Besser scheint mit der Firewall Client vom ISA-Server zu sein:

 

Troubleshooting Outbound FTP Access in ISA Server

 

Wenn es gar nicht anders geht, den Socks-Proxy aktivieren und nur für bestimmte "Leute" erlauben. Einen richtigen FTP-Proxy scheint der ISA-Server noch nicht zu haben ?

 

-Zahni

Link zu diesem Kommentar
SSL Connect´sollte aus Sicherheitsgründen nur für Port 443 erlaubt sein.

Sonst kann mit passenden Tools (z.B. httport) die Firwall umgangen werden.

 

Und das geht mit Port 443 nicht? ;) Abgesehen davon, sag das bspw. mal Astaro, die ihre Adminports auf 4444 usw. gelegt haben.

 

Besser scheint mit der Firewall Client vom ISA-Server zu sein:

 

Ürgs.

 

Bye

Norbert

Link zu diesem Kommentar
Und das geht mit Port 443 nicht? ;) Abgesehen davon, sag das bspw. mal Astaro, die ihre Adminports auf 4444 usw. gelegt haben.

 

Sicher geht das, aber nur wenn Du einen Partner am Tunnel-Ende hast.

Wenn DU SSL-Connect für alle Ports erlaubst (Extremfall), kannst Du z.B. mit

httport und sockscap den Proxy für alle Anwendungen komplett umgehen.

 

Firwall-Client schlecht ?

 

Mag sein...

 

 

Hier betreibt man einen FTP-Proxy (user@host) , der die Up- und Downloads nebenbei auf Viren prüft.

 

-Zahni

Link zu diesem Kommentar
Sicher geht das, aber nur wenn Du einen Partner am Tunnel-Ende hast.

 

Ach was. ;)

 

Wenn DU SSL-Connect für alle Ports erlaubst (Extremfall), kannst Du z.B. mit

httport und sockscap den Proxy für alle Anwendungen komplett umgehen.

 

Ja, und wo wäre der Unterschied, wenn ich das einfach auf Port 443 tue?

Heißt ja nicht umsonst Firewall Bypass Protokoll. ;)

 

Firwall-Client schlecht ?

 

Sagen wir so: Ich mag ihn nicht, und bisher konnte ich sehr gut ohne ihn leben.

 

Bye

Norbert

Link zu diesem Kommentar

Der Unterschied ist, dass ich bei einem offenen SSL-Connect keinen Partner am anderen Ende des Tunnels brauche. Der Proxy macht das dann ganz alleine. Ich manchen Programmen (nicht nur FTP-Clients) ist das gleich eingebaut. Httport emuliert z.B. auf einem freien SSL-Connect-Proxy einen lokalen Socks-Proxy.

 

Ist vielleicht auch Ansichtssache.

Link zu diesem Kommentar

Der SSL Connect stellt eine transparente (=getunnelte) IP-Verbindung mit einem externen Partner her. Was darüber läuft, ist dem Proxy zunächst egal, es sei denn, er hat Funktionen und SSL-Datenströme zu überwachen.

 

Wenn Du das auf Portt 443 beschränkst, kann via SSL Connect extern nur auf diesem Port zugegriffen werden ;). Dort läuft i.d.R eh nur SSL.

Wen der User extern auf Port 443 ein "Tunnelende" laufen lässt, hast Du natürlich keine Möglichkeiten. Es geht mir hier mehr um den Ausschluss von externen Standard-Anwendungen:

 

Beispiel: Ein User möchte den Proxy umgehen und seine Mails bei GMX per IMAP abholen. Du möchtest das ausschließen, wegen Viren und so. Im Proxy wird keine explizite Blocklist für den IMAP-Server bei GMX geführt. Die Frage: Kann er es wenn SSL Connect zu allen externen Ports erlaubt ist ?

 

Übrigens kann mit geeigneten Tools (z.B. HTTPort) auch ein SSL-Connect auf Port 80 machen. Ohne dass der Proxy seinen Virenscanner anwerfen kann.

 

Ich zitiere mal von eine Webseite:

 

Using HTTPort software and CONNECT/SSL/HTTPS proxy for anonymity for HTTP and non HTTP applications and bypassing of your local HTTP proxy filtering

HTTPort allows you to bypass your HTTP proxy, which is blocking you from the Internet. With HTTPort you may use various Internet software from behind the proxy, ex. e-mail, instant messengers, P2P file sharing, ICQ, News, FTP, IRC, etc. The basic idea is that you set up your Internet software in such a manner, that it connects to your own local PC as if it was the remote server it needed. HTTPort then intercepts that connection and runs it through a tunnel through the proxy.

 

HTTPort doesn't really care for the proxy as such, it works perfectly with firewalls, transparent accelerators, NATs and basically anything that lets HTTP protocol through. HTTP is the basis for web surfing, so if you can freely surf the web from where you are, HTTPort will bring you the rest of the Internet applications.

 

HTTPort performs tunneling using one of two modes. The following schemes will give you the idea.

 

In SSL/CONNECT mode HTTPort can make a tunnel through a proxy all by itself. It requires that the proxy supports a certain HTTP feature, specifically CONNECT HTTP method. Most of the proxies have this method disabled by default, and administrators don't readily enable it, so if you find that this tunneling mode works for you, you must be lucky. SSL/CONNECT mode much faster, but encryption can't be used in this mode and as described here, your proxy tracks all your actions easily.

 

Remote host method is much more capable for tunneling through just about any proxy. In this mode HTTPort uses a special server software called HTTHost installed somewhere outside of your proxy-blocked network. HTTHost is basically a web server with a twist. When HTTPort is doing tunneling, it sends series of HTTP requests to the HTTHost. The proxy sees it af if you were surfing to some web site, and consciously allows you to. HTTHost in turn performs it's half of tunneling and talks to the target servers. This mode is much slower, but works in most cases, and it features strong data encryption which makes proxy logging useless.

 

Link zu diesem Kommentar
Der SSL Connect stellt eine transparente (=getunnelte) IP-Verbindung mit einem externen Partner her. Was darüber läuft, ist dem Proxy zunächst egal, es sei denn, er hat Funktionen und SSL-Datenströme zu überwachen.

 

Hätte TMG übrigens. ;)

 

Wenn Du das auf Portt 443 beschränkst, kann via SSL Connect extern nur auf diesem Port zugegriffen werden ;). Dort läuft i.d.R eh nur SSL.

 

Also wenn ich mir schon die Mühe mache, dann habe ich zumindest auch einen Dienst auf der anderen Seite, der auf 443 hört ;)

Wenn es um allgemeine Möglichkeiten geht, hast du natürlich Recht. Ich wollte auch nicht auf allen Ports ssl erlauben, sondern auf entsprechend zu definierenden.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...