1. FTP ausser 20,21 und 25

2. SAMBA (SMB) ausser 137, 138, 139

Problem: meine Firewall funzt nicht ganz richtig. Oben genannte Ports sind offen, trotzdem gibts Probleme.

verrat doch mal bitte mehr von deiner konfiguration. OS, ftp-server/client, halt alles was uns weiterhelfen kann. welche firewall? was ist der genaue fehler?

Falls es beim ftp Probleme gibt, versuchs mal im passive mode.

Nic

meine firewall: SuSe Linux 8.0 -> Filterung mit iptables (Ports 20,21,25 werden maskiert)

hab schon passiven mode zu laufen

aber wenn mein ftp-client (leechftp) den befehl LIST schickt, passiert erst ne weile nichts mehr und dann bekomme ich ne fehlermeldung.

bei andern clients gibt es auch diese probleme.

SAMBA habe ich (ich glaube) im Griff. Habe noch den Port 5337 erlaubt und jetzt funzt es.

Hier die Regeln fuer einen Client.

1. Aktives FTP
   
   Richtung: out
   lokal Port: >1023
   Remote Port: 21
   
   Richtung: in
   lokal Port: 20
   Remote Port: >1023
   
   
2. Aktives FTP mit SSL
   Richtung: out
   lokal Port: >1023
   Remote Port: 990
   
   Richtung: in
   lokal Port: 989
   Remote Port: >1023
   
   
3. Passives FTP
   Richtung: out
   lokal Port: >1023
   Remote Port: 21
   
   Richtung: out
   lokal Port: >1023
   Remote Port: >1023
   
   
4. Passives FTP mit SSL
   Richtung: out
   lokal Port: >1023
   Remote Port: 990
   
   Richtung: out
   lokal Port: >1023
   Remote Port: >1023
   
   
5. Port 25
   
   Er dient fuer SMTP, nicht fuer FTP.
   
   Richtung: out
   lokal Port: >1023
   Remote Port: 25
   

Fuer einen Server musst Du jeweils die Richtung und lokal/remote Port tauschen.

Hier die NetBIOS und SMB Regeln:

[*]Win9x/NT4: NetBIOS (Samba)

Richtung: in/out

lokal Port: 137,138

Remote Port: 137,138

Richtung: out

lokal Port: >1023

Remote Port: 139

Richtung: in

lokal Port: 139

Remote Port: >1023

[*]ab Win2k/XP zusaetzlich: SMB (Samba)

Richtung: out

lokal Port: >1023

Remote Port: 445

Richtung: in

lokal Port: 445

Remote Port: >1023

[/list=1]

werde ich sobald wie möglich testen

Ich habe noch mal den Verbindungsaufbau mit tcpdump angeschaut.

Kommunikation läuft zuerst mit Remote .ftp (ftp.server.de.ftp).

Dann (nach der Anmeldung) wird auf einen anderen Port gewechselt, der sich nicht vorhersagen lässt (z.B. 51137).

Auf meinem Client sind auch zwei Ports aktiv (beide größer als 1024). Der erste kommuniziert mit ftp und der zweite mit dem hohen Port des FTP-Servers.

Nach etwas Zeit wird dann die Verbindung unterbrochen.

Originally posted by E-T

Ich habe noch mal den Verbindungsaufbau mit tcpdump angeschaut.

Kommunikation läuft zuerst mit Remote .ftp (ftp.server.de.ftp).

Dann (nach der Anmeldung) wird auf einen anderen Port gewechselt, der sich nicht vorhersagen lässt (z.B. 51137).

Auf meinem Client sind auch zwei Ports aktiv (beide größer als 1024). Der erste kommuniziert mit ftp und der zweite mit dem hohen Port des FTP-Servers.

Nach etwas Zeit wird dann die Verbindung unterbrochen.

Das ist so richtig.

Die Verbindung wird lokal ueber einen hohen Port zum FTP-control Port (21) hergestellt. Zum Download von Dateien ueber passives FTP wird dann eine zweite Verbindung lokal ueber einen hohen Port zu einem hohen Port des FTP-Servers geoeffnet.

Der Verbindungsabbruch nach Inaktivitaet ist ganz normal.

Das kannst Du mit einem Keep-alive (NOOP, LIST oder anderen FTP-Befehl) verhindern.

Mein Problem ist der hohe Port des Servers. Was bringt eine Firewall wenn ich die hohen Ports offen lassen müsste?

Wie kann ich das umgehen?

Du musst die Ports nicht offen lassen. Die Firewall kennt das ftp-Protokoll und analysiert die einzelnen Requests. Wird dort ein Port ausgehandelt so wird dieser fuer die Dauer der Kommunikation von der Firewall geoeffnet und im Anschluss automatisch wieder geschlossen.

Nic

Ich Filter meine Pakete mit iptables von Hand. Da geht nichts automatisch!

Dafür gibt es das connection tracking der iptables:

http://www.linuxchix.org/content/courses/security/connection_tracking

Das solltest Du fuer die ftp-ports einschalten.

Nic