SFTP / SSH für FTP Server

[Dio]

Servus Leutz,

Habe folgendes Problem:

Wir haben bei uns auf einem Rechner in der Firma Filezilla als FTP Server laufen.

Da auf dem Server auch geschäftskritische Daten liegen wollen wir die Übertragung verschlüsseln.

Unser Router ist eine uralte Axent Raptor Firewall auf einer NT Gurke.

Folgende Ports sind an der Firewall nach aussen und innen geöffnet.

20, 21, 22 jeweils TCP und UDP

Diese Ports werden außerdem an die IP Adresse des FTP Servers per Portforwarding weitergeleitet.

Eine normale Verbindung über den Port 21 klappt einwandfrei.

Bei einer Verbindung per SSL mit implizierter Verschlüsselung kann ich das von mir erstellte Zertifikat annehmen, User und PW werden authentifiziert aber beim empfangen der Ordnerliste bekomme ich die Meldung das der Transferkanal nicht geöffnet werden konnte.

Alle anderen Verbindungen wie z.B. SFTP über SSH oder SSL mit explizierter Verschlüsselung funzen gar nicht.

An den Einstellungen des Clients und des Servers kann es aber auch nicht liegen da wir schon alle möglichen Einstellungen durchgegangen sind.

Hab ich bei der Firewall einen Port vergessen oder sowas?

[darkworld]

Ehrlich gesagt weiss ich nicht wies beim Filezilla Server aussieht, aber bei mir (RaidenFTP) muss man den SSL-Port gesondert eintragen. Schätze mal dass du tatsächlich einen Port vergessen haben wirst, welche das jedoch ist hängt vermutlich von deinen Einstellungen ab.

[Dio]

Beim Filezilla kann man nur den Standardport für FTP (bei mir 21) und den SSL Port (bei mir 22) einstellen.

Portweiterleitungen dafür sind gesetzt.

Irgend jemand noch ne Idee?

[hades]

Laut http://www.iana.org/assignments/port-numbers sind es diese Ports bei FTP mit TLS/SSL:

TCP 989 (ftp data), Richtung: zum FTP-Client

TCP 990 (ftp control), Richtung: zum FTP-Server

Haengt allerdings von Deinem FTP-Server ab, ob er das auch so unterstuetzt.

[Dio]

Ja hab ich mittlerweile auch bemerkt..

Werde mal die Ports 989-900 weiterleiten mal sehen was passiert.

Ich denke mal das es am Port 989 hängt.

Werde euch noch berrichten :mod:

[Dio]

Es geht trotzdem nicht.... Das ist echt zum ****en

Irgendjemand noch ne Idee?

[Dio]

Also mittlerweile denke ich das es am Proxy der Firewall liegt.

Denn der Port 21 ist im Proxy eingetragen, die Ports 990 und 989 jedoch nicht.

Könnte das daran liegen?

[McCaffrey]

Hast du dir eigentlich schonmal die Logs deiner Firewall angesehen? Findest du es nicht ziemlich unverantwortlich auf gut Glück irgendwelche Ports freizuschalten?

[geloescht_JesterDay]

Findest du es nicht ziemlich unverantwortlich auf gut Glück irgendwelche Ports freizuschalten?

Es waren ja nicht irgendwelche Ports, sondern es waren Ports aus dem Well-Known-Ports-Bereich. Und solange dahinter keine Programme laufen, die auf die POrts hören, ist es vollkommen egal, ob die offen oder zu sind. Das man lieber alle zumacht ist halt nur, damit man sich nicht mehr drum kümmern muss, ob da nicht doch irgendwo ein Prog den Port abhört.

Er sollte sie nur wieder zumachen, aber das ist wie gesagt erstmal nicht soo kritisch (also deswegen wird da keiner ins Netz eindringen in den nächsten Tagen).

Aber zum Thema:

Hast du mal bei deinem FTP Client den passiven Modus eingestellt?

* Beim Passive Mode baut der Client eine Datenverbindung zum vom Server gewünschten Port auf. Hier wird typischerweise von beiden Seiten ein Port jenseits 1023 benutzt.

Diese Technik wird eingesetzt, wenn der Client z.B. hinter einem Router sitzt, da ihm nicht eindeutig eine IP-Adresse zugeordnet werden kann.

http://de.wikipedia.org/wiki/File_Transfer_Protocol

Das dürfte bei dir auch zutreffen denk ich mir.

[Dio]

Also das mit dem passiven Modus habe ich bereits probiert..

Und zu McCaffrey kann ich nur sagen das diese Ports weitergeleitet werden auf einen Test FTP Server außerhalb der Domäne und somit keinerlei Risiko besteht.

Hinbekommen hab ich es trotzdem nicht..

Ich vermute das der Proxyserver unserer Firewall nur Standardports nach draussen durchlässt und so eine SSL Verbindung nicht zustande kommt.

[geloescht_JesterDay]

Ich vermute das der Proxyserver unserer Firewall nur Standardports nach draussen durchlässt und so eine SSL Verbindung nicht zustande kommt.

Das lässt sich ja überprüfen, indem du dir die Proxykofiguration ansiehst Ausserdem, wieso stellt ihr den FTP-Server nicht vor den Proxy, in die DMZ. Wenn nur der FTP darauf läuft und sonst alles dicht ist, ist das ja genauso sicher. Evtl. andere benötigte Dienste (ssh o.ä.) könntest du ja aufs lokale Netz beschränken.

[McCaffrey]

Also wenn ich das richtig verstanden habe und du nur mittels SFTP eine Verbindung herstellen möchtest, dann benötigst du nur port 22.

Das bedeutet, dass der SSH Daemon auf deinem Testserver laufen muss und die SFTP in der sshd_config erlauben musst.

Anschließend solltest du noch die Proxyeinstellung der Firewall anpassen. Da SSH Verschlüsselt ist, kannst du aber hierfür nur einen generischen Proxy und nicht den FTP Proxy verwenden.

Sollte ich dein Problem falsch verstanden haben, ignorier mich einfach!

[Dio]

Hiho

@ JesterDay: Problem ist das unsere Firewall sau kompliziert aufgebaut ist da noch VPN Verbindungen usw. dranhängen. Außerdem ist die Software uralt. (Firma Axxent heißt mittlerweile Symantec ich denke das sagt alles ) und wir haben quasi null Dokumentation oder Anleitungen. Bei Google finde ich leider auch nichts über eine Axxent Raptor Firewall.

Klar könnte ich den FTP Server auch nach draussen hängen aber dann müsste auf den FTP Server auch wieder ne Firewall und ne 2. Netzwerkkarte o.ä. um vom internen Netzwerk drauf zuzugreiffen.

Deshalb lassen wir den FTP Server einfach erstmal unverschlüsselt. Normales FTP läuft ja einwandfrei.

@ McCaffrey: Anfangs wollten wir SFTP nehmen sind dann aber umgestiegen auf FTPS über SSL weil das der Filezilla Server unterstützt. An den Proxyeinstellungen (wenn es denn die Proxyeinstellungen sind) kann man an der Firewall leider keine zusätzlichen Ports eintragen.

Auf jedenfall Danke für die Ratschläge Leute :uli

Wir belassen es jetzt aber erstmal beim FTP ohne Verschlüsselung.

[geloescht_JesterDay]

Klar könnte ich den FTP Server auch nach draussen hängen aber dann müsste auf den FTP Server auch wieder ne Firewall und ne 2. Netzwerkkarte o.ä. um vom internen Netzwerk drauf zuzugreiffen.

Eine 2.Firewall ja gerade nicht, deswegen ja die DMZ. Wenn auf dem Rechner sonst nix läuft ist es ja egal. 1 (oder 2) offener Port (=FTP) und ssh nur für lokales Netz. Sonst läuft nix was mit Netzwerk o.ä. zu tun hat auf dem Server.

Eine Windowskiste sollte es natürlich nicht unbedingt sein Aber auch da kann man eigentlich, auch ohne FW, alles unnötige schliessen.