Cisco router und passive ftp und exposed host
folgendes setup:
cisco router incl modem mit fester ip
lokaler passiver ftp dienst server.2
lokaler server server.3
kann das so funktionieren?
!fuer exposed server
"ip nat inside source static tcp 192.168.178.3 interface Dialer1"
!fuer passive ftp port range 5500-5505 data port fuer ftp
"ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21"
"ip nat inside source static tcp 192.168.178.2 5500 interface Dialer1 5500"
"ip nat inside source static tcp 192.168.178.2 5501 interface Dialer1 5501"
"ip nat inside source static tcp 192.168.178.2 5502 interface Dialer1 5502"
"ip nat inside source static tcp 192.168.178.2 5503 interface Dialer1 5503"
"ip nat inside source static tcp 192.168.178.2 5504 interface Dialer1 5504"
"ip nat inside source static tcp 192.168.178.2 5505 interface Dialer1 5505"
der router ist auch auf den clients als dns eingetragen also warum sollte dann noch
"ip nat inside source static udp 192.168.178.6 53 interface dialer1 53"
mit eingetragen werden?
danke und vg ;)
cisco router incl modem mit fester ip
lokaler passiver ftp dienst server.2
lokaler server server.3
kann das so funktionieren?
!fuer exposed server
"ip nat inside source static tcp 192.168.178.3 interface Dialer1"
!fuer passive ftp port range 5500-5505 data port fuer ftp
"ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21"
"ip nat inside source static tcp 192.168.178.2 5500 interface Dialer1 5500"
"ip nat inside source static tcp 192.168.178.2 5501 interface Dialer1 5501"
"ip nat inside source static tcp 192.168.178.2 5502 interface Dialer1 5502"
"ip nat inside source static tcp 192.168.178.2 5503 interface Dialer1 5503"
"ip nat inside source static tcp 192.168.178.2 5504 interface Dialer1 5504"
"ip nat inside source static tcp 192.168.178.2 5505 interface Dialer1 5505"
der router ist auch auf den clients als dns eingetragen also warum sollte dann noch
"ip nat inside source static udp 192.168.178.6 53 interface dialer1 53"
mit eingetragen werden?
danke und vg ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 194498
Url: https://administrator.de/forum/cisco-router-und-passive-ftp-und-exposed-host-194498.html
Ausgedruckt am: 28.12.2024 um 05:12 Uhr
12 Kommentare
Neuester Kommentar
Cisco 800er Serie oder RV04 oder Linksys ???
Auch bei Cisco haben viele Entwicklungsstellen ihre eigene Syntax und die kann sich auch noch über die Generationen verändern.
Außerdem gibt es noch die Möglichkeit, dass ein Teil der Konfiguration korrekt aussieht, sie aber trotzdem nicht funktioniert, da andere Konfigurationen nicht passend sind.
Details bitte.
zu Hardware
Istzustand
und Ziel.
-- und wenns geht, so geschrieben, dass es normal Sterbliche lesen können
Gruß
Netman
Auch bei Cisco haben viele Entwicklungsstellen ihre eigene Syntax und die kann sich auch noch über die Generationen verändern.
Außerdem gibt es noch die Möglichkeit, dass ein Teil der Konfiguration korrekt aussieht, sie aber trotzdem nicht funktioniert, da andere Konfigurationen nicht passend sind.
Details bitte.
zu Hardware
Istzustand
und Ziel.
-- und wenns geht, so geschrieben, dass es normal Sterbliche lesen können
Gruß
Netman
Nein, das funktioniert vermutlich so nicht, denn du kannst die FTP Ports auf einem FTP Server nicht so einfach verbiegen.
Lies dir am besten erstmal durch wie passive FTP funktioniert:
http://slacksite.com/other/ftp.html
Du kannst sehen das der Client eine Command Session auf TCP 21 eröffnet, Daraufhin eröffnet der Server selber die Datasession und gibt seinen Port mit.
Es reicht als im statischen NAT TCP 21 freizugeben und auf die lokale IP Adresse des FTP Servers zu forwarden.
Funal kann man deine Frage so oder so nicht benatworten, da man deine Internet Port Konfiguration nicht kennt. Arbeitest du mit einem Firewall Image und Content Base ACLs musst du ggf. noch ein "FTP Loch" in deine Firewall bohren.
Eine solche Konfiguration zeigt dir das folgende Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Nimmt man das als Grundlage und ist der Server die .100 im lokalen LAN dann müsste die CB ACL noch folgenden Eintrag haben um passive FTP von außen zuzulassen:
access-list 111 permit tcp any eq 21 any
Dann sollte ein statisches NAT Statement reichen: (bezogen jetzt auf deine Konfig !)
ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21
Lies dir am besten erstmal durch wie passive FTP funktioniert:
http://slacksite.com/other/ftp.html
Du kannst sehen das der Client eine Command Session auf TCP 21 eröffnet, Daraufhin eröffnet der Server selber die Datasession und gibt seinen Port mit.
Es reicht als im statischen NAT TCP 21 freizugeben und auf die lokale IP Adresse des FTP Servers zu forwarden.
Funal kann man deine Frage so oder so nicht benatworten, da man deine Internet Port Konfiguration nicht kennt. Arbeitest du mit einem Firewall Image und Content Base ACLs musst du ggf. noch ein "FTP Loch" in deine Firewall bohren.
Eine solche Konfiguration zeigt dir das folgende Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Nimmt man das als Grundlage und ist der Server die .100 im lokalen LAN dann müsste die CB ACL noch folgenden Eintrag haben um passive FTP von außen zuzulassen:
access-list 111 permit tcp any eq 21 any
Dann sollte ein statisches NAT Statement reichen: (bezogen jetzt auf deine Konfig !)
ip nat inside source static tcp 192.168.178.2 21 interface Dialer1 21
Ja...kommt irgendwie bekannt daher....
OK, wenn du den Port wirklich selber bestimmen kannst ist ja gut. Das solltest du aber immer erst absolut wasserdicht im lokalen LAN austesten !
Bedenke das der FTP Prozess immer aus 2 TCP Ports besteht. Wichtig für den Zugriff von außen ist nur der Command Port. Der Data Port wird vom Server aufgebaut bei Passive.
Dann kannst du das erstmal mit einem Schrotschuss Static NAT austesten NAT das keine Port Begrenzung macht ala:
ip nat inside source static 192.168.178.2 interface dialer 1
Das setzt erstmal alles um und entspräche dann einer "exposed Host" Konfiguration. Wenn das dann klappt, wovon auszugehen ist, dann setzt du das auf deinen umgebogenen FTP Port um sofern du den NAT Prozess auf diese FTP Ports beschränken willst.
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
Noch besser ist du richtest dir auf dem Cisco ein VPN ein (3 Zeiler und Konfig steht im Tutorial) dann hast du den Prozess mit Löcher bohren in die NAT Firewall gar nicht erst und gehst auf Nummer sicher...
OK, wenn du den Port wirklich selber bestimmen kannst ist ja gut. Das solltest du aber immer erst absolut wasserdicht im lokalen LAN austesten !
Bedenke das der FTP Prozess immer aus 2 TCP Ports besteht. Wichtig für den Zugriff von außen ist nur der Command Port. Der Data Port wird vom Server aufgebaut bei Passive.
Dann kannst du das erstmal mit einem Schrotschuss Static NAT austesten NAT das keine Port Begrenzung macht ala:
ip nat inside source static 192.168.178.2 interface dialer 1
Das setzt erstmal alles um und entspräche dann einer "exposed Host" Konfiguration. Wenn das dann klappt, wovon auszugehen ist, dann setzt du das auf deinen umgebogenen FTP Port um sofern du den NAT Prozess auf diese FTP Ports beschränken willst.
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
Noch besser ist du richtest dir auf dem Cisco ein VPN ein (3 Zeiler und Konfig steht im Tutorial) dann hast du den Prozess mit Löcher bohren in die NAT Firewall gar nicht erst und gehst auf Nummer sicher...
OK dann hast du 2 statische NAT Statements drin:
ip nat inside source static 192.168.178.3 interface dialer 1 für den exposed host der lässt dann alles durch. Und
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
dann nur für den FTP Host.
Fertig ist der Lack.
Debug NAT paket ist dein Freund wenns Probleme gibt
ip nat inside source static 192.168.178.3 interface dialer 1 für den exposed host der lässt dann alles durch. Und
ip nat inside source static tcp 192.168.178.2 <ftp_port> interface Dialer1 <ftp_port>
dann nur für den FTP Host.
Fertig ist der Lack.
Debug NAT paket ist dein Freund wenns Probleme gibt
Da machst du dann wieder grundsätzlich etwas falsch !!
Ein
"no ip nat inside source static 192.168.178.3 interface dialer 1 "
Entfernt das static NAT wieder !!
Und...administrator.de kannst du grundsatzlich nicht anpingen !! Die filtern ICMP Pakete !!
Nimm also bitte heise.de oder spiegel.de für den Test !
Ein
"no ip nat inside source static 192.168.178.3 interface dialer 1 "
Entfernt das static NAT wieder !!
Und...administrator.de kannst du grundsatzlich nicht anpingen !! Die filtern ICMP Pakete !!
Nimm also bitte heise.de oder spiegel.de für den Test !