alphaman
Goto Top

FTP Proxy hinter einer Watchguard Firebox III/700

Hi Leute,

ich habe mal eine Frage. Was muss ich bei der Watchguard einstellen damit FTP Pakete erkannt werden und dann durchgelassen werden denn wir haben einen FTP-Over-HTTP Proxy am laufen (F-Secure Gatekeeper) und derzeit ist es nicht möglich z.B. einen FTP Link im Browser zu laden. Die Datei wird vom FTP nicht geladen. Wenn wir alle Ports nach aussen hin auf machen dann geht es, aber das nicht nicht die Lösung. Daher kann mir jemand vielleicht sagen was ich und wie ich es einstellen muss damit die FTP Pakete erkannt werden damit das ganze funktioniert.

Dickes Danke schonmal im Voraus.

Gruß,
Alphaman

Content-ID: 52508

Url: https://administrator.de/forum/ftp-proxy-hinter-einer-watchguard-firebox-iii-700-52508.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

aqui
aqui 23.02.2007 um 19:43:25 Uhr
Goto Top
FTP benutzt die Ports TCP 20 und 21. Wenn du die oeffnest sollte es klappen !
Alphaman
Alphaman 25.02.2007 um 18:14:03 Uhr
Goto Top
Leider war es nicht so. Es wird ja ein Port ausgehandelt auf dem es dann weiter geht. Irgendwie sind die dann geblockt. Ich muss mir die Konfiguration mal selber anschauen.

Gruß,
Alphaman
aqui
aqui 25.02.2007 um 18:41:26 Uhr
Goto Top
Das ist in der Tat so wenn die Watchguard NAT macht oder man nicht mit dem etsablished Kommando bei den ACL arbeiten kann.
Dann solltest du einen Client benutzen der im sog. Passive Mode arbeitet, das fixt das Problem meist immer.
Meist nutzen fast alle Browser den Passive Mode. Ob das klappt kannst du dann z.B. mit dem Firefox einmal testen indem du als URL dann ftp://User:Passwort@<ip Adresse> eingibst.
Alphaman
Alphaman 25.02.2007 um 18:55:20 Uhr
Goto Top
Der FPT Proxy dient F-Secure Internet Gateway und F-Secure hat gemeint das man bei ihnen nicht einfach von z.B. aktiv auf passiv gehen kann. Desweitern wird ja nicht von jedem FTP Server passiv unterstützt.

F-Secure meinte auch das es evtl die Möglichkeit gibt bzw. bessere Router automatisch erkennen sollte wenn ein FTP Verbindung aufgebaut wird und entsprechend freischaltet.

Hast Du vielleicht eine Idee wie man es möglich machen könnte das dies doch alles funktioniert.
Ich hab mir am Freitag noch von Watchguard mal die Demo von einer Firebox besorgt. Leider ist die Software Version nicht die 7.0 und nicht 8.x was derzeit aktuelle ist glaube ich.
aqui
aqui 27.02.2007 um 00:06:18 Uhr
Goto Top
Ja richtig das ist die aktuellste.

Die Information das nicht jeder Server den passive Mode unterstützt ist aber schlicht falsch ! Das Kommando PASV ist ein Standardkommando und sollte in jedem Standardkonformen Server implementiert sein..gerade heutzutage !
Falls der wirklich nur aktive kann müsstest du ein große Range von Ports eröffnen auf der Firewall was diese dann ad absurdum führt. Das wäre also auch nicht die richtige Lösung. Und ja es gibt Router die in den FTP Sessionaufbau sehen und dann dynamisch diesen engehenden Port öffnen. Das musst du bei den Features des Routers erfragen oder im Datenblatt nachlesen...
Alphaman
Alphaman 27.02.2007 um 11:22:13 Uhr
Goto Top
Hi aqui,

sorry das ich jetzt erst antworte aber ich hab mir die Policy Einstellungen der Firewall mal angeschaut.

Derzeit ist es so eingestellt das FTP:21 vom FTP Proxy Server -> extern gehen darf. Dies sollte eigentlich so OK sein. Wie die Settings sonst noch in der Policy sind kann ich derzeit nicht sehen.

Ich denke mal das die Watchguard das schon unterstützt das erkannt wird ob ein FTP Dienst gerade benutzt wird. Weisst du vielleicht wie diese Funktion heisst.

Gruß,
Alphaman
aqui
aqui 27.02.2007 um 12:06:12 Uhr
Goto Top
Wenn schon dann sollte dort wenigstens TCP 20 und TCP 21 eingestellt sein das wäre FTP seitig wenigstens korrekt ! Das Protkoll benutzt beide Ports wie du hier ersehen kannst:
http://www.elektronik-kompendium.de/sites/net/0902241.htm
Nur TCP 21 ist nur die halbe Miete. Korrekt auch ohne NAT kann es so nicht klappen.
Alphaman
Alphaman 01.03.2007 um 16:28:54 Uhr
Goto Top
Hatten wir auch schon probiert aber es gib auch nicht... Ich muss mir das ding mal direkt vornehmen und mal selber basteln ;) Der Kunde hat mich nur noch nicht drangelassen. Hab nur die Policys von ihm gesehen. Er sagte aber das er das schon ausprobiert haette.

Ich hab jetzt mal mein Anliegen im Watchguard Forum USA gepostet. Mal schauen was da rauskommt.

* Muss mich auch korregieren, es ist keine Firebox x700 sondern eine Firebox III/700. Also noch bissel älter *