Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Firewall-Regel für FTP?

NZC / 13 Antworten / Baumansicht Nickles

Hi,
ich möchte eine Regel für meine Firewall (Kerio) erstellen, die es Opera ermöglicht FTP-Downloads durchzuführen. Bisher funktioniert das bei einigen Seiten nicht, obwohl ich Regeln aufgestellt habe, die die Ports 20 und 21 einbeziehen
Wenn ich mir das Firewall-Log ansehe, fällt mir auf, das die Kontaktaufnahme (kurz nach Klick auf den Link) zu den FTP-Servern über Ports läuft, die teilweise im 4-stelligen Bereich liegen und keine Regelmäßigkeit aufweisen.
Was für eine Art Downloads sind das (z.B. die Links im Download-Bereich von Intel)? Echte FTP-Zugriffe laufen doch immer über Port 20 bzw 21 ab oder bin ich da nicht up to date?

Wenn ich die oben genannten Zugriffe in meine bisherigen Regeln einfließen lassen wollte, dann müßte ich Opera die Kommunikation über alle Ports erlauben. Dazu habe ich aber wenig Lust?

Gibs ne bessere Lösung?

HtM
NZC

bei Antwort benachrichtigen
Klaus_T NZC „Firewall-Regel für FTP?“
Optionen

FTP ist fuer eine Firewall wie die Kraetze. Du solltest dir mal das Protokoll dazu durchlesen. Der Port 21 ist der Steuerkanal, aber sobald du auf dem Server ein Verzeichnis betrachtest, oeffent sich Port 20, der Datenkanal. Auf Clientseite wird bei passiven FTP immer ein Port ueber 1024 genommen. Du hast keine Chance, das einzugrenzen.

K.

bei Antwort benachrichtigen
Klaus_T Nachtrag zu: „FTP ist fuer eine Firewall wie die Kraetze. Du solltest dir mal das Protokoll...“
Optionen

Hey, ich bin jetzt davon ausgegangen, dass du einen FTP-Server hinter deiner Firewall hast. Du willst aber nur auf einen im Internet zugreifen, nicht wahr. Dann mustt du natuerlich alle Ports ueber 1024 freischalten. Ist doch auch kein Problem, da du ja wohl keine Dienste anbietest, oder? Du hast ja auch alle Ports ueber 1024 freigegeben fuer http, sonst koenntest du nicht ins Internet.
Wofuer brauchst du die firewall ueberhaupt?

K.

bei Antwort benachrichtigen
Gurus Klaus_T „Hey, ich bin jetzt davon ausgegangen, dass du einen FTP-Server hinter deiner...“
Optionen

warum sollte man ein Port > 1000 freigeben, die sind a) auch nicht "genormt" und b) hat das mit FTP nichts am Hut??


MfG
Gurus

bei Antwort benachrichtigen
Klaus_T Gurus „warum sollte man ein Port 1000 freigeben, die sind a auch nicht genormt und b...“
Optionen

Weil ein Browser immer einen Port nutzt, der ueber 1024 liegt. Genauso nutzt passives FTP auch immer einen Port ueber 1024. Wenn man die Ports sperrt, kann ja nichts reinkommen.

K.

bei Antwort benachrichtigen
xafford Klaus_T „Weil ein Browser immer einen Port nutzt, der ueber 1024 liegt. Genauso nutzt...“
Optionen

Kerio ist ein Stateful Packet Filter, er erlaubt "related" Sockets also von sich aus. Ergo muß er nur ausgehend mit Zielport21 freigeben.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Klaus_T xafford „Kerio ist ein Stateful Packet Filter, er erlaubt related Sockets also von sich...“
Optionen

Echt? Haette ich denen gar nicht zugetraut. Aber wenn das so ist, warum fragt er dann danach und will das nicht freischalten? Wo ist das Problem?

K.

bei Antwort benachrichtigen
xafford Klaus_T „Echt? Haette ich denen gar nicht zugetraut. Aber wenn das so ist, warum fragt er...“
Optionen

Keine Ahnung ehrlich gesagt....eventuell will er sich an einer Expert-Konfiguration versuchen oder irgendetwas klappt nicht.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Jonas_H xafford „Keine Ahnung ehrlich gesagt....eventuell will er sich an einer...“
Optionen

Internet über nur bei geöffneten Ports über 1024???? Na ja, also Dein Browser nutzt ganz sicher den Port 80 (bzw.80/80)! Und kommt damit ins Internet! Ports sind ein weiteres Adressierungsmerkmal neben der im Internet endeutigen IP-Adresse. Die IP-Adresse bezeichnet den Rechner, der Port den Dienst auf deisem Rechner. Und für "Internet" (oder Surfen via Browser etc.) wird standardmäßig der Port 80 benutzt, ganz bestimmt!!

bei Antwort benachrichtigen
xafford Jonas_H „Internet über nur bei geöffneten Ports über 1024???? Na ja, also Dein Browser...“
Optionen

1. einen Reply setzt man dahin, wo er hin gehört, nämlich unter das Posting auf das man sich bezieht.
2. sowohl Klaus als auch ich kennen Ports und wissen wozu sie da sind, schließlich ist das unser Job
3. nutzt http wirklich Port 80 AUF DEM SERVER und nur für den Handshake!
4. dein Browser nutzt garantiert keinen Port 80, den nutzt der Server den Du kontaktierst.
5. ganz bestimmt wolltest Du helfen und ich will dich nicht irgendwie anmeckern, aber nutze nicht "ganz bestimmt" wenn du etwas nicht genau kennst, wenn Du auf einer Firewall welche nicht als Statefull Packet Filter arbeitet alle Ports inbound und outbound blockst und nur Port 80 in- und outbound freigibst, dann geht garantiert kein surfen und genau darauf bezog sich wohl Klaus.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Jonas_H NZC „Firewall-Regel für FTP?“
Optionen

p.s.

Oh, natürlich, "surfen" bzw."www" ist natürlich nur ein Dienst im Internet, dieser läuft aber wie gesagt mittels des Browsers über den Port 80!!

bei Antwort benachrichtigen
-IRON- Jonas_H „p.s. Oh, natürlich, surfen bzw. www ist natürlich nur ein Dienst im Internet,...“
Optionen

Nein. Sniffe doch mal einen Verbindungsaufbau deines Browsers zu einer Seite mit. Der Webserver der Seite nutzt Port 80. Dein Browser nicht. Nie.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
NZC Nachtrag zu: „Firewall-Regel für FTP?“
Optionen

Um es klarzustellen:
Wenn ich im Browser einen FTP-Link (nicht bei allen) anklicke, dann verbindet sich der Browser, der ja in dem Fall der FTP-Client ist mit dem FTP-Server nicht auf dessen Port 21 sondern auf einem über 1024. (Der Remote-Endpoint(!), der eigentlich 21 sein sollte und den ich auch freigegeben habe, hat ein Wert von über 1024.)

Ich hab etwas nachgelesen und vermute mal das der Grund dafür der ist, das ein öffentlicher FTP Server nicht millionen von Anfragen auschließlich auf Port 21 annehmen kann und diese dann auf freie Ports (>1024) verlagert.

Ich habe meine FW jetzt so eingestellt, das sie nachfragt, wenn eine solche Verbindung aufgebaut wird, so das ich dann entscheiden kann ob ich sie zulassen will oder nicht.(Hatte sie bisher so eingestellt, das alles was nicht auf ne Filterregel passt stumm verworfen wird)

HtM
NZC

bei Antwort benachrichtigen
Klaus_T NZC „Um es klarzustellen: Wenn ich im Browser einen FTP-Link nicht bei allen...“
Optionen

Okay, dann mal genauer:

1.Client (Du) öffnet Steuerverbindung von einem Port ueber 1024
auf Port 21 des Servers zur Authentifizierung.

Jetzt muss eine Datenverbindung aufgemacht werden. Da kommt es darauf an, ob Passives FTP oder Aktives FTP verwendet wired.

2. Aktives FTP:
Der Server oeffnet die Verbindung von Port 20
auf einem Port ueber 1024 des Clients (Du).

2. Passives FTP:
Der Client (Du) oeffnet eine Verbindung von Port ueber 1024 zu Port 1024 des Servers.

Deshalb sollte man Passives FTP nehmen, weil das etwas sicherer ist. Bei reinen FTP-Clients kann man das einstellen, ob passiv oder aktiv.
Dann kommt es natuerlich darauf an, ob der Server das zulaesst.

K.

bei Antwort benachrichtigen