FortiGate Firewall FTP freigeben

Hello @ all!

Ich habe eine FortiGate 60B im Einsatz. Nun hab ich mir von Netgear ein NAS gekauft auf welchem ich den FTP Zugang einetragen bzw. freigegeben habe. Mein Problem ist nun das ich die Konfiguiration auf der FortGate nicht hin bekomme. Ich bin durchs gesamte Netz durch, hab alle Anleitungen gelesen und probiert....bin sicher nicht "der" Firewallspezialist aber ich denke dass das Vorhaben nicht so schwer sein kann. Fixe IP Adressen sind vorhanden.

Kann mir bitte hier jemand weiterhelfen?!

Content-Key: 145865

Url: https://administrator.de/contentid/145865

Ausgedruckt am: 19.06.2021 um 12:06 Uhr

Mitglied: harald21
harald21 am 29.06.2010
Hallo,

das ist relativ einfach:
1. Unter Firewall --> Virtual IP eine Weiterleitung eintragen
a) external IP: eine deiner offiziellen IP's
b) mapped IP: die reale Adresse des NAS (192.168.x.y)
2. Unter Firewall --> Policy eine Regel anlegen
a) Source Address: all
b) Destination Address: deine soeben abgelegte virtuell IP
c) Service: FTP auswählen
d) NAT nicht aktivieren!
e) andere Option nach Wunsch auswählen --> Fertig!

mfg
Harald
Mitglied: sniffnase
sniffnase am 29.06.2010
Richtig, und bei der Policy noch die richtigen interfaces auswählen (src: WAN1 dst: INTERNAL) :) face-smile
Mitglied: t.freidl
t.freidl am 29.06.2010
Hallo Harald,

danke für deine rasche Anleitung!

Ich hab jetzt unter virtual IP folgendes angegeben:

Name: NAS
External Interface: wan1
External IP Adress: 83.65.x.x (eine freie Adresse)
Mapped IP: 192.168.0.50 (IP des NAS)
Port Forward: aktiv
Protocol: TCP
Extenal Port: 21
Map to Port: 21
bei der Policy hab ich folgendes:

Source Interface: any
source address: all
Destination Inteface: any
Destination: 192.168.0.50
Schedule: always
Service: FTP
Action: Accept
NAT: nicht aktiv
und sonst auch nichts mehr!

....mit diesen Einstellungen komme ich aber leider trotzdem nicht auf das NAS! Hab ich hier einen Fehler drinnen?

BG
TF
Mitglied: 45877
45877 am 29.06.2010
hallo,

du versuchst es aber schon von außen oder?
Und die Box weiss auch dass sie für die IP zuständig ist (83.65.x.x )?
Mitglied: t.freidl
t.freidl am 29.06.2010
Hi chewbakka,

ja ich teste das Ganze von außen und ja die Box (Nas) weiß bescheid!
Mitglied: sniffnase
sniffnase am 29.06.2010
Versuchs mit Source Interface WAN1
Destination Interface: internal
Mitglied: 45877
45877 am 29.06.2010
Hallo,

ich meinte, ob die Fortigate weiss, das sie für die IP zuständig ist.
Mitglied: t.freidl
t.freidl am 29.06.2010
Sorry, das hab ich falsch vesrstanden!

Meinst du ob auf der Fortigate ein Interface mit der neuen externen IP Adresse versehen ist?
Ich seh nur unter den Interfaces das die FG bei wan1 die erste externe IP Adresse stehen hat.
Gibt es noch eine andere Möglichkeit wo die IP steht?

Danke
Mitglied: sniffnase
sniffnase am 29.06.2010
die IP die unter wan steht ist die richtige
du kannst sie auch vom CLI aus abrufen mit:

show system interface wan1

Die IP Adresse trägst du dann auch bei deiner Virtual IP ein

External IP Adress: 83.65.x.x (eine freie Adresse)

Wieso eine Freie? nein - genau die vom WAN interface.

hast du schon versucht das richtige source und destination interface in der policy anzugeben?

bei der Policy hab ich folgendes:

Source Interface: any (hier WAN1)
source address: all
Destination Inteface: any (hier INTERNAL)
Destination: 192.168.0.50

Mitglied: harald21
harald21 am 29.06.2010
Hallo,

in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!
Für FTP wird allerdings nicht nut der Port tcp/21 (FTP-Control) sondern ebenfalls noch der Port tcp/20 (FTP-Data) verwendet. Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic findet somit ausschließlich in der Policy statt.

Dein NAS-Gerät hat aber schon die interne IP-Adresse der Fortigate als Default Gateway eingetragen?
Bitte trage in der Policy auch die korrekten Source- und Destination-Interface ein.

Ansonsten kannst du aber auch den Traffic auf der Fortigate-Konsole mit snifen: "diag sniff pack any 'tcp and port 21' 3" Mit der Option "3" werden die Interface der ein- und ausgehenden Packete mit angezeigt.

mfg
harald
Mitglied: sniffnase
sniffnase am 29.06.2010
Zitat von @harald21:
Hallo,

in der virtual IP kannst du die IP deines externen Intefaces nehmen oder auch eine freie IP!

wie soll das mit der freien IP funktionieren?
man sollte schon genau die IP adresse nehmen, zu der man sich von aussen verbindet.
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein. Man kann dem WAN interface aber auch mehrere IP Adressen zuweisen.

Für FTP wird allerdings nicht nut der Port tcp/21 (FTP-Control) sondern ebenfalls noch der Port tcp/20 (FTP-Data) verwendet.
Deshalb hatte ich ja angegeben kein Port-Forwarding in der Virtuellen IP zu aktivieren. Die Einschränkung auf FTP-Traffic
findet somit ausschließlich in der Policy statt.

Port 21 reicht.
FTP Data Verbindung wird ja vom Server zum client aufgebaut und nicht vom client zum server.

Also ich habe eine Fortigate und einen FTP server.
Virtual IP mit Port 21 und Portweiterleitung funktioniert
Die richtigen Interfaces bei der Policy eingetragen (natürlich auch die reihenfolge der policys beachten) und es funktioniert.


Dein NAS-Gerät hat aber schon die interne IP-Adresse der Fortigate als Default Gateway eingetragen?
Bitte trage in der Policy auch die korrekten Source- und Destination-Interface ein.

Ansonsten kannst du aber auch den Traffic auf der Fortigate-Konsole mit snifen: "diag sniff pack any 'tcp and port
21' 3" Mit der Option "3" werden die Interface der ein- und ausgehenden Packete mit angezeigt.

mfg
harald

Mitglied: harald21
harald21 am 30.06.2010
Hallo,

man sollte schon genau die IP adresse nehmen, zu der man sich von aussen verbindet.
Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein. Man kann dem WAN interface aber auch mehrere IP Adressen zuweisen.

Einfach die gewünschte IP-Adresse in der VIP eintragen (und dort das richtige Interface auswählen), ein Binden der IP an das Interface ist absolut überflüssig

Egal welche IP Adresse man nimmt, sie muss am wan1 interface der fortigate eingetragen sein

Falsch !

mfg
Harald
Mitglied: sniffnase
sniffnase am 30.06.2010
da hast du natürlich recht,. Wenn ichs mir jetzt so durchlese weiß ich auch nicht warum ich auf sowas gekommen bin :) face-smile
Heiß diskutierte Beiträge
Netzwerke
Internetprobleme seit Serverinstallation
beepboopVor 1 TagFrageNetzwerke27 Kommentare

Guten Tag zusammen Bei einem Kunden habe ich ein sehr merkwürdiges Problem. Wir haben vor zwei Wochen einen Server beim Kunden installiert. Vorher waren nur ...

Windows 10
Austritt Mitarbeiter - Windows- u. M365 Konto
gelöst NixVerstehenVor 1 TagFrageWindows 1011 Kommentare

Moin zusammen, ich habe hier im Kleinunternehmen tatsächlich zum ersten Mal die Situation, das eine Mitarbeiterin aus dem kaufmännischen Bereich ausscheiden wird. Die Kollegin ist ...

Batch & Shell
Powershell viele Ordner über Netzwerk löschen
Hannes2021Vor 1 TagFrageBatch & Shell17 Kommentare

Guten Abend zusammen, steh gerade vor einem massiven Problem mit powershell bei Windows 10. In einer Ordner Struktur sollen diverse Ordner und das nicht gerade ...

Microsoft Office
Office Professional Plus 2016 und 2019 Installation
gelöst any-key-tasteVor 1 TagFrageMicrosoft Office14 Kommentare

Hallo zusammen, ich quäle mich heute schon den ganzen Tag mit dem Bereitstellungstool für Office herum. Diverse Foreneinträge haben mir nicht geholfen, auch mit diversen ...

Exchange Server
Migration Exchange 2013 zu 2019, nach Änderung Port-Weiterleitung keine Verbindung mehr
NidavellirVor 1 TagFrageExchange Server16 Kommentare

Hallo zusammen, wir haben noch einen Exchange 2013 im Einsatz, welcher durch die 2019er Version abgelöst werden soll. Infos zum Umfeld: - Mailabruf erfolgt per ...

Microsoft
Wird die durch den DHCP zugewiesene IP-Adresse in der Ereignisanzeige gespeichert?
stephan.csVor 1 TagFrageMicrosoft6 Kommentare

Guten Morgen zusammen, leider bin ich mit meiner Recherche bis jetzt nicht weiter gekommen. Darum die Frage Wir haben folgende Situation: - Windows 10 Clients ...

Installation
Setup mit automatischen Klicks
akadawaVor 1 TagFrageInstallation9 Kommentare

Moin, ich habe eine Installation welche ich gerne über das Softwarecenter vom SCCM installieren lassen möchte. Leider lassen die Parameter der Setup.exe es nicht zu, ...

Router & Routing
Bitte um Hilfe: Routing - Layer 3 Switch u. Firewall (VLAN Segmentierung)
gelöst DiesDasAnanasVor 1 TagFrageRouter & Routing7 Kommentare

Hallo liebe Leute, ich benötige Unterstützung. Anbei hab ich eine Skizze angefertigt. Kann mir jemand sagen wo ich was einrichten muss um folgendes zu schaffen: ...