7
Firewall Portfreigabe für FTP
Hallo und Guten Tag,
mein Problem war, dass ich mich nicht mir FTP-Servern verbinden konnte.
Dachte ich mir, ist ja logisch du musst in der pfsense die entsprechenden Ports freigeben.
Dann habe ich nachgelesen und folgendes gefunden:
1. Der Client sendet eine Verbindungsanfrage an den Server.
2. Der Client verwendet dafür einen Port zwischen 1024 und 65535.
3. Der Server wird über den Port 21 angesprochen.
4. Für die Datenübertragung nutzt der Server Port 20 und stellt eine Anfrage an einen Clientport zwischen 1024 und 65535.
5. Der Client teilt dem Server zunächst mit, auf welchem Port er die Datenübertragung erwartet. Der Server kontaktiert ihn daraufhin über diesen Port.
Also habe ich Port 20,21 und Port 1024 bis 65535 aufgemacht.
Jetzt funktioniert alles super aber ich frage mich, muss ich wirklich Port 1024 bis 65535 freigeben?
Müssen es wirklich 64511 Ports sein oder genügt auch ein kleinerer Bereich?
Gibt es Gefahren, wenn ich so viele Ports offen haben?
Gruß Andi
mein Problem war, dass ich mich nicht mir FTP-Servern verbinden konnte.
Dachte ich mir, ist ja logisch du musst in der pfsense die entsprechenden Ports freigeben.
Dann habe ich nachgelesen und folgendes gefunden:
1. Der Client sendet eine Verbindungsanfrage an den Server.
2. Der Client verwendet dafür einen Port zwischen 1024 und 65535.
3. Der Server wird über den Port 21 angesprochen.
4. Für die Datenübertragung nutzt der Server Port 20 und stellt eine Anfrage an einen Clientport zwischen 1024 und 65535.
5. Der Client teilt dem Server zunächst mit, auf welchem Port er die Datenübertragung erwartet. Der Server kontaktiert ihn daraufhin über diesen Port.
Also habe ich Port 20,21 und Port 1024 bis 65535 aufgemacht.
Jetzt funktioniert alles super aber ich frage mich, muss ich wirklich Port 1024 bis 65535 freigeben?
Müssen es wirklich 64511 Ports sein oder genügt auch ein kleinerer Bereich?
Gibt es Gefahren, wenn ich so viele Ports offen haben?
Gruß Andi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 358499
Url: https://administrator.de/contentid/358499
Ausgedruckt am: 24.11.2024 um 09:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
schau mal nach aktiv und passiv bei FTP.
Als Client muss man eigentlich keine Einstellungen an der Firewall vornehmen.
Stefan
schau mal nach aktiv und passiv bei FTP.
Als Client muss man eigentlich keine Einstellungen an der Firewall vornehmen.
Stefan
Müssen es wirklich 64511 Ports sein oder genügt auch ein kleinerer Bereich?
Depends on the used ftp server. Normally you have an option to manually define the dynamic data port range. Integrated Windows FTP can be configured in the registry, FileZilla Server has an option to configure the used Port-Range for example. So every server should give you such an option.Best regards
Tom
dass ich mich nicht mir FTP-Servern verbinden konnte.
Das ist auch normal wenn man einen Router hat der NAT macht. FTP kann nur im Passive Mode über NAT übetragen werden.Warum das so ist wird hier genau erklärt:
http://slacksite.com/other/ftp.html
https://www.hosteurope.de/faq/webhosting/hochladen-von-webinhalten-ftp/u ...
FTP nutzt im normalen Active Mode die Ports TCP 20 und TCP 21. Das ist im Passive Mode anders.
Also habe ich Port 20,21 und Port 1024 bis 65535 aufgemacht.
Vollkommener Quatsch und auch massiv kontraproduktiv, denn damit durchlöcherst du massiv deine Firewall und schaffst ein Sicherheitsproblem ! Abgesehen davon ist es sinnfrei und löst das Problem nicht, was du ja selbst sehen kannst...es geht auch damit nicht.Lies dir bitte den Kommunikationsaufbau genau durch !
http://slacksite.com/other/ftp.html#active
Im Active Mode ist es unmöglich über eine NAT Firewall zu kommen. Du musst den Server so einstellen das er den Passive Mode am Client erzwingt oder einen Passive Clienbt verwenden.
In der Regel sind die FTP Clients in den Webbrowsern allesamt fest im Passive Mode.
Ein ftp://<ziel_ip> im Firefox oder Chrome erreicht auch ohne Frickelei sein Ziel !
die pfSense tickt da etwas anders.
Seit Version 2.2.1 (?) ist kein FTP Helper bzw. Proxy mehr by default installiert.
Für FTP (Clientseitig) muß zwingend Port 21/TCP und "dynamische Ports des Servers/TCP" ausgehend freigegeben werden.
wenn man nicht weiß welche Ports der Server verwendet muß es halt 1025 bis 65534 sein.
20/tcp wird imho nicht benötigt.
-
Abhilfe kann das Package FTP_Client_Proxy schaffen.
Gruß
CH
Seit Version 2.2.1 (?) ist kein FTP Helper bzw. Proxy mehr by default installiert.
Für FTP (Clientseitig) muß zwingend Port 21/TCP und "dynamische Ports des Servers/TCP" ausgehend freigegeben werden.
wenn man nicht weiß welche Ports der Server verwendet muß es halt 1025 bis 65534 sein.
20/tcp wird imho nicht benötigt.
-
Abhilfe kann das Package FTP_Client_Proxy schaffen.
Gruß
CH
Hallo,
ich habe hier 2.3.4 am laufen und kann ohne Einstellungen FTP passiv nutzen.
Stefan
ich habe hier 2.3.4 am laufen und kann ohne Einstellungen FTP passiv nutzen.
Stefan
Hi,
Wenn ohne Einstellungen heißt: nur Port 21/TCP ist freigegeben: dann stimmt in deinen Regeln was nicht.
Log mal explizit auf der pfSense Verbindungen zu dem FTP Ziel, dort werden dann die hohen Ports zu sehen sein.
Habe es bei mir zu Hause gestern nochmal getestet.
-
Doku von Netgate(pfSense):
https://doc.pfsense.org/index.php/FTP_without_a_Proxy
Passive mode on the client will require access to random/high ports outbound, which could run afoul of a strict outbound ruleset
CH
ich habe hier 2.3.4 am laufen und kann ohne Einstellungen FTP passiv nutzen.
Wenn ohne Einstellungen heißt: ohne den ausgehenden Verkehr zu filtern: OKWenn ohne Einstellungen heißt: nur Port 21/TCP ist freigegeben: dann stimmt in deinen Regeln was nicht.
Log mal explizit auf der pfSense Verbindungen zu dem FTP Ziel, dort werden dann die hohen Ports zu sehen sein.
Habe es bei mir zu Hause gestern nochmal getestet.
-
Doku von Netgate(pfSense):
https://doc.pfsense.org/index.php/FTP_without_a_Proxy
Passive mode on the client will require access to random/high ports outbound, which could run afoul of a strict outbound ruleset
CH
Vielen Dank @ChriBo!
1. FTP_Client_Proxy installieren.
2. Anschalten und auf das LAN Interface setzen
3. und Port 21 am LAN Interface öffnen
So kann ich jetzt auf jeden beliebigen FTP-Server zugreifen.
Allerdings nicht mit TLS. Mein Filezilla sagt:
Fehler: GnuTLS-Fehler -110: The TLS connection was non-properly terminated.
Status: Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
1. FTP_Client_Proxy installieren.
2. Anschalten und auf das LAN Interface setzen
3. und Port 21 am LAN Interface öffnen
So kann ich jetzt auf jeden beliebigen FTP-Server zugreifen.
Allerdings nicht mit TLS. Mein Filezilla sagt:
Fehler: GnuTLS-Fehler -110: The TLS connection was non-properly terminated.
Status: Server hat die TLS-Verbindung nicht ordnungsgemäß geschlossen
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
