FILEZILLA SERVER Ports und Freigaben

[drapoel]

Hallo ich schreibe diesen Beitrag um alle notwendigen Ports und Freigaben zu erwähnen die notwendig sind um den Filezilla- Server zu betreiben.

Notwendige komponetnten sind meistens der Router und die Software Firewall (WinXP Standart). Die Notwendigkeit sehe ich deshalb, da trotz Freigabe einiger Ports und Programme die Verbindung nicht funktioniert. Im folgenden werde ich die Ports aufführen die Freigegeben wurden. Bitte um Ergänzungen!

Momentaner Status ist, dass wenn die Software Firewall von Xp ausgeschaltet wird der Zugriff problemlos, mit User + Passwort, funktioniert.

Wird die Firewall eingeschaltet, ist der ZUgriff nicht möglich.

Freigaben:

Router

Port: 21 (FTP) mit weiterleitung an die Rechner IP

Port: 443 (SSL) mit weiterleitung an die Rechner IP

Programm: keine Freigabe notwendig

Firewall- und Ausnahmen

Port: 21

Port: 443

Programm: Filezilla.exe

Programm: Filezilla Server Interface

FTPSERVER

"Force SSL for user login" ist daktiviert.

Grüße

Drapoel:bimei

Bearbeitet 11. Dezember 2008 von drapoel

[Crash2001]

Öööhm - soll das jetzt ein kleines Howto sein, oder fehlt da einfach nur die Frage? :confused:

Und falls Anleitung - was hat der SSl-Port 443 damit zu tun? Den braucht man nicht für FTP. Dafür aber evtl noch den Port 20 für aktives FTP.

[drapoel]

Ja genua! So soll es sein. Ein Beitrag der grundlegendes zum FTPFilezilla Server beschreibt. Ziel ist es, dass ein User den FTP Server einfach ohne weiteres ans laufen bekommt. Ohne Vorwissen.

Also ich fasse mal zusammen:

Freigaben:

Router

Port: 20 (FTP) für aktives FTP

Port: 21 (FTP) mit weiterleitung an die Rechner IP

Port: 443 (SSL) mit weiterleitung an die Rechner IP

Programm: keine Freigabe notwendig

Firewall- und Ausnahmen

Port: 20

Port: 21

Port: 443

Port: 1047 (siehe Punkt 2. FTPSERVER)

Programm: Filezilla.exe

Programm: Filezilla Server Interface

FTPSERVER

1. "Force SSL for user login" ist daktiviert.

2. Unter "Passive mode settings" Funktion "use custom port range:" <->aktivieren und einen Port aussuchen z.B. 1047 (1-65535)

Diesen Port dann auch in der XP-Firewall freigeben.

:bimei

[Socke1337]

Ziel ist es, dass ein User den FTP Server einfach ohne weiteres ans laufen bekommt. Ohne Vorwissen.

Momentan sind ja nur Ports aufgelistet. Schreibs doch genauer und poste das dann. HowTo´s sind meistens mit beispielen und Bilder. Ich denke nicht das jeder der hier angemeldet ist mal eben auf seinen Router zugreifen kann.

Ach und da du ja um ergänzung bittest:

Passives FTP:

Beim passiven FTP wird anders verfahren, damit der Server keine Verbindung zum Client aufbauen muss. Beide Verbindungen werden vom Client veranlasst.

Bei passiven FTP öffnet der der Client zwei Ports (N und N+1, beide > 1024)

Auf dem ersten Port N kontaktiert der Client den Server, allerdings nicht mit dem "PORT N+1"-Kommando, sondern mit dem "PASV"-Kommando.

Daraufhin öffnet der Server einen Dataport (P > 1024) und sendet seinerseits "PORT P" zurück zum Client.

Der Client initiiert dann die Verbindung von seinem Data-Port (N+1) zum Data-Port des Servers (P).

Was muss jetzt bei der Server-Firewall frei gegeben werden?

# Server Port 21 - von überall

# Server Port 21 - auf alle Ports > 1024

# alle Server Ports >1024 - auf alle Ports > 1024

# alle Server Ports >1024 - von allen Ports > 1024

Aktives FTP:

Der Client baut eine Verbindung zum Server auf Port 21 auf. Über diese Verbindung laufen dann die Steuerkommandos wie "welche Dateien sind auf dem Server" u.ä. Das klappt dann auch sehr gut, bis man anfangen möchte, Daten zu übertragen. Dazu teilt der Server dem Client mit "gib mir mal einen freien IP-Port und lausche darauf", um dann eine Verbindung zum Client-Rechner aufzubauen. Die dortige Firewall sieht eine eingehende Verbindung die neu aufgebaut werden soll und verwirft diese, was grundsätzlich keine schlechte Idee ist.

Was muss jetzt bei der Server-Firewall frei gegeben werden?

# Server Port 21 - von überall

# Server Port 21 - auf alle Ports > 1024

# Server Port 20 - auf alle Ports > 1024

# Server Port 20 - von allen Ports > 1024

Quelle:www.alenfelder.com

MFG Rafzahn

PS: falsch was falsch sein sollte einfach bescheid sagen

[Crash2001]

Was bitte meinst du mit

[...]# Server Port 21 - auf alle Ports > 1024[...]

? :confused:

Ein Port kann nur auf genau EINEN anderen Port weitergeleitet werden und nicht auf einen Bereich von Ports.

Für passives FTP braucht man keine Weiterleitungen ausser Port 21 einrichten. Die benötigten sonstigen Ports werden dynamisch zugewiesen.

Für aktives FTP muss zusätzlich auch noch Port 20 weitergeleitet werden - sonst afaik nichts.

Aktives FTP:

Der Client öffnet einen zufälligen Port > 1023 bei sich und teilt dem Server an Port 21 seinen offenen Port und seine IP-Adresse mit. Daraufhin schickt der Server eine Antwort an diesen Port. Für die Datenübertragung wird dann ein zusätzlicher dynamischer Port ausgehandelt, an den geschickt wird. Dabei läuft die Datenübertragung auf Serverseite über Port 20, wobei die zweite Verbindung aufrecht erhalten bleibt, wodurch Server und Client auch während der Datenübertragun noch miteinander kommunizieren können.

Passives FTP:

Der Client sendet an den Server auf Port 21 ein PASV-Kommando und einen Port, auf dem er lauscht, woraufhin der Server einen Port öffnet und dem Client diesen mitteilt. Die kommunikation und Datenübertragung läuft dann zwischen diesen beiden Ports ab.

[drapoel]

Eine einfache Kommunikation von Client und Server benötigt die Öffnung folgender Ports. An Router/Client(XP Firewall)/FTPServer (Filezilla)

Freigaben:

Router

Port: 20 (FTP) für aktives FTP

Port: 21 (FTP) mit weiterleitung an die Rechner IP

Port: 443 (SSL) mit weiterleitung an die Rechner IP -(ist nicht notwendig)

Programm: keine Freigabe notwendig

Firewall- und Ausnahmen

Port: 20

Port: 21

Port: 443 -(ist nicht notwendig)

Port: 1047 (siehe Punkt 2. FTPSERVER)

Programm: Filezilla.exe

Programm: Filezilla Server Interface

FTPSERVER

1. "Force SSL for user login" ist daktiviert.

2. Unter "Passive mode settings" Funktion "use custom port range:" <->aktivieren und einen Port aussuchen z.B. 1047 (1-65535).

Diesen Port dann auch in der XP-Firewall freigeben.

So...... bei mir läuft es mit diesen Einstellungen ohne Probleme.

Wenn diese Einstellungen und Freigaben jemanden dennoch nicht genügen

und er zusäzliche Schritte durchführen musste, um eine Verbingung herzustellen, bitte ich um Ergänzung.

Grüße

:bimei

Bearbeitet 13. Dezember 2008 von drapoel

[Crash2001]

Der "passive mode port" muss normal nicht freigegeben werden bzw muss nicht weitergeleitet werden, da der NAT-Router das selbst erkennt und ihn automatisch an die richtige IP weiterleitet.

Sorry, wenn ich das so sage, aber du solltest dich echt erst einmal damit auseinandersetzen, wie ein Datentransfer über TCP überhaupt funktioniert, bevor du hier versuchst, eine Anleitung zu erstellen, die hinten und vorne nicht stimmt. Der passive mode existiert ja unter anderem genau aus dem Grunde, damit man wirklich nur einen einzigen Port manuell freigeben und weiterleiten muss, auf den nach aussen hin gelauscht wird und der Transfer funktioniert wie bei einem Webserver. Da die Firewall vom PC darüber benachrichtigt wird, dass auf Port x die Antwort erwartet wird, wird dieser auch nicht geblockt in einem bestimmten Zeitraum, bzw bis die Verbindung aktiv geschlossen wird. Erwartet der PC hingegen keine Antwort auf dem Port und es kommt eine Anfrage, wird er automatisch geblockt. bei deiner Konfiguration hingegen wird die Anfrage bis zum PC des Users durchgestellt.

Zudem ist das use custom port range auch eine ziemlich sinnlose Funktion, da man die Ports genauso auch dynamisch zuweisen lassen kann, wobei der nächste freie dynamische Port dann genommen wird. Sollte dieser Port nämlich schon in Benutzung sein, so ist sonst zu dem Zeitpunkt kein Transfer möglich (Fehlermeldung: Port in use). Wenn dann sollte man dort eine Port Range und nicht einen einzelnen Port festlegen. aber auch das macht nicht wirklich viel Sinn.

Der Client stellt über einen dynamischen Port eine Anforderung an den webserver auf Port 80, dass er eine Seite geliefert bekommen möchte und gibt einen Port an, auf dem er die Antwort erwartet. Der Server schickt von einem dynamischen Port an den Client auf dem vom Client angegebenen Antwortport die Antwort und wartet auf die Bestätigung, dass das Paket angekommen ist. Die Kommunikation läuft dann zwischen den ausgehandelten Ports ab. Ist alles angekommen und bestätigt, so werden die Ports wieder geschlossen. Ruft man eine weitere Seite auf, so läuft dies wieder nach dem gleichen Verfahren. Die Anforderung ist also die einzige Kommunikation, die den Port 80 nutzt. alles weitere läuft über dynamische Ports. So werden die festen Ports nicht blockiert.

Genauso funktioniert es auch beim passiven FTP.

FTPS, was per default auf dem Port 443 lauscht, ist übrigens unsicherer als SFTP (was per default auf dem Port 22 lauscht). Natürlich ist es sicherer als "pures FTP", aber wenn man schon ein sichereres Protokoll verwenden will, dann sollte man auch direkt SFTP verwenden. Davon abgesehen kann man die festen Ports auch auf jeden beliebigen anderen Port festlegen, solange dieser nicht für andere Sachen genutzt wird, also beispielsweise den FTP-Port auf 5001 legen, damit er nicht bei standardscans aus dem Internet direkt gefunden wird.

Bearbeitet 13. Dezember 2008 von Crash2001

[drapoel]

HI dass sollte hier die einfachste Anleitung sein die es gibt um den FileZillaServer ans laufen zu bekommen. Für jeden der wenig weiss und nicht mehr wissen will, weil er einfach nur auf seine Daten zugreiffen will.

D.h. die grundlegenen Einstellungen, vielleicht noch ein zwei Abnormalitäten die beachtet werden müssen.

Aber wenn du Ahnung hast, dann schreib mal eine Beschreibung, tabelarisch und so kurz und übersichtlich wie nur möglich. .....

Und noch was, dass mit dem PassivPort habe ich hingeschreiben, da dieser eben nicht automatisch gefunden wurde und ich lange gesucht habe um herauszufinden woran das lag, dass ich keinen Zugriff auf meine Daten hatte. Auch wenn es normalerweise anders läuft.So war es bei mir und so könnte es auch bei jemanden anderen sein. Diese habe ich mit ein oder zwei Abnormalitäten gemeint, die erwähnt werden sollten, die mann zwar nicht anwenden muss, aber mal ausprobieren könnte.

Wie immer der letzte und entscheidene Satz:

Wenn diese Einstellungen und Freigaben jemanden dennoch nicht genügen

und er zusäzliche Schritte durchführen musste, um eine Verbingung herzustellen, bitte ich die Tabelle zu Ergänzen.

Grüße

:bimei

Bearbeitet 18. Dezember 2008 von drapoel