FTP mellom to brannmurer

[HDSoftware]

Dette skal i utgangspunktet være kokt mat, men av en eller annen grunn sliter jeg med følgende:

 

Har en FTP server ståendes hos en ISP bak en brannmur. Altså ikke i DMZ. Så har jeg på routeren portforwardet port 21 slik at eksterne kall kiommer igjennom. Dette fungerte nesten. Siden den er bak en brannvegg så kreves en passive port range. Denne er også åpnet på brannmuren. Problemet er at jeg på innsiden av vårt lokale nett ikke når den fra serveren. Tenker jo med en gang brannmur problematikk, men kan ikek se at jeg har glemt noe. Så kom jeg til å tenke på at jeg kansje burde sluppet passive range igjennom hos oss også, men er ikek det for dumt da? Skal man måtte lage egne regler for alle FTP servere man kan tenke seg at klientene på nettet skal koble seg til ? Det kan da ikke være slik ?

[FritidsMoro]

Vår gode Wikipedia !

http://no.wikipedia.org/wiki/FTP

[HDSoftware]

Joda, Jeg kjenner FTP protokollen, men det løser ikke problemet her desverre ...

[lhegdal]

Du kan løse det med f.eks. NAT. Du skal sikkert benytte SFTP istedet for FTP? Da er det port 22.

For den offisielle IP-adressen du skal benytte lager du en NAT regel for innkommende trafikk. Port 22(om secrure ftp) NATes til serverens lokale IP adresse på port 22. Om utgående trafikk er åpen (de fleste fw er satt opp slik) så kommer pakkene ut.

 

I den andre enden må du forsikre deg om at du slipper port 22 trafikk inn på nettet, og eventuelt lage regel om du sperrer utgående trafikk.

[HDSoftware]

Med andre, ikke bruk Passive FTP ?

[xcomiii]

Joda Passive FTP funker det, men kan godt være du må spesifisere port range på FTP serveren til en gitt range, kontra å åpne hele brannmuren. Altså i FTP server configen.

 

Ellers er standard porter for ekte FTP alt over port 1024.

[conundrum]

Har en FTP server ståendes hos en ISP bak en brannmur. Altså ikke i DMZ.

Når du skriver "ikke i DmZ", betyr det at maskinen ikke har offentlig IP?

 

Så har jeg på routeren portforwardet port 21 slik at eksterne kall kiommer igjennom. Dette fungerte nesten. Siden den er bak en brannvegg så kreves en passive port range. Denne er også åpnet på brannmuren.

Du trenger ikke å bruke passiv FTP selv om serveren er bak en brannmur. Faktisk blir det mer komplisert med passiv FTP enn aktiv, men begge deler skal fungere uten at du behøver å åpne/forwarde mer enn port 21, såfremt brannmuren har spesifikk FTP-støtte (ALG). Har den det?

[HDSoftware]

Har en FTP server ståendes hos en ISP bak en brannmur. Altså ikke i DMZ.

Når du skriver "ikke i DmZ", betyr det at maskinen ikke har offentlig IP?

 

Så har jeg på routeren portforwardet port 21 slik at eksterne kall kiommer igjennom. Dette fungerte nesten. Siden den er bak en brannvegg så kreves en passive port range. Denne er også åpnet på brannmuren.

Du trenger ikke å bruke passiv FTP selv om serveren er bak en brannmur. Faktisk blir det mer komplisert med passiv FTP enn aktiv, men begge deler skal fungere uten at du behøver å åpne/forwarde mer enn port 21, såfremt brannmuren har spesifikk FTP-støtte (ALG). Har den det?

Oj oj oj o.s.v.

 

Det stemmer at FTP server ikke har public IP. Den står bak en router. Faktisk en Cisco RV082, som har publick IP. Det jeg, enkelt og greit, ønsker er at denne FTP serveren skal være tilgjengelig på WAN. Kort og godt. Jeg ønsker ikke å måtte endre noe som helst i brannmurer rundt omkring hos alle som skal bruke denne. Det må med andre ord være bare å koble på. FTP serveren er en enkel NAS boks fra NetGear og er ikke spesiellt komplisert..

[conundrum]

Det skal da holde å forwarde port 21 på Cisco-routeren (som egentlig er en Linksys) til FTP-serveren.

 

RV082 skal ha FTP ALG, noe som innebærer at den overvåker FTP-kommandoforbindelsen dynamisk åpner andre porter som kreves av FTP-serveren. Edit: Det ser ut som RV082-grensesnittet har er predefinert protokollobjekt som heter "FTP", og bruker man det når man forwarder FTP-kommandoporten, skal ALGen ta seg av resten.

 

Hvilke problemer opplevde du med dette oppsettet? Fikk du f.eks. logget på FTP-serveren, men ikke overført filer?

Endret 11. oktober 2011 av conundrum

[HDSoftware]

opplevde at jeg ikek fikk kontakt i det hele tatt. Men skal nå sjekk einstillingene..

[HDSoftware]

Nope. Finn er ikke noe ALG der i det hele tatt. Ser jo FTP i listen og har satt dette opp både på Firewall og Forwarding, men altså ikek noe ALG. FTP serveren er satt opp med en passive portrange fra 55000 til 55099. Denne har jeg også sluppet igjennom på brannmuren

[conundrum]

Nope. Finn er ikke noe ALG der i det hele tatt. Ser jo FTP i listen og har satt dette opp både på Firewall og Forwarding, men altså ikek noe ALG. FTP serveren er satt opp med en passive portrange fra 55000 til 55099. Denne har jeg også sluppet igjennom på brannmuren

Det er det FTP-objektet som er ALGen.

 

Hvis portforwardingen er satt opp riktig, skal du uansett kunne logge på FTP-serveren. Dette kan du lett teste ved å åpne en forbindelse til port 21 med et enkelt TCP-basert program som telnet, putty eller netcat. Du skal da få opp banner-meldingen fra FTP-serveren.

 

Jeg har gravd frem min gamle RV042 fra boden, og skal se litt på hvordan dette settes opp. Den skal være ganske lik RV082.

[HDSoftware]

Ok. Men jeg troro jeg har fått svar på spørsmålet. SÅ fremt alt er riktig på FW/ROUTER foran FTP server så skal det stort sett ikke ha noe å si på andre siden med mindre man har stenginger i brannmur

[conundrum]

Det er korrekt. (Og min RV042 var uansett hardwareversjon 1, og har sikkert en annen firmware enn den RV082-routeren du bruker.)