FTP-Server über ISA Standard 2006 veröffentlichen
Hinter der Hardware-Firewall, wo die Glasfaser reinkommt, steht ein ISA Server 2006 Standard. Von diesem weg gehen über die einer Netzwerkkarte das interne, und über eine dritte Netzwerkkarte das Umkreisnetzwerk mit www- und ftp-Server.
Hallo!
Der FTP-Server (192.168.242.4) ist ein FileZilla-Server und funktioniert netzwerk-intern einwandfrei. Von allen Clients intern, egal aus welchem internen Netz (es gibt deren 13), kann ich mich mit egal welchem FTP-Client verbinden und Dateien hochladen/bearbeiten/....
Aber bei der Veröffentlichung des FTP-Servers happert es. Auf demselben Server liegt auch der WebServer (Apache HTTPD), dessen Veröffentlichung mit ISA über den Assistenten "Einen Webserver veröffentlichen" problemlos geklappt hat. Veröffentliche ich aber mit dem Assistenten "Ein Nicht-Webserver-Protokoll veröffentlichen" einen FTP-Server, wird jeder eingehende FTP-Verkehr von dieser Regel nicht erkannt und aufgrund der Standardregel abgelehnt.
Könnte mir da bitte jemand einen Tipp geben?
Danke, Stefan
Konfiguration:
FTP-Server-Veröffentichung am ISA-Server
+ von Extern
+ nach 192.168.242.4
+ Protokoll FTP-Server
+ Filterung: Nur lesen: deaktiviert
+ Ports: Standard
+ Ursprung: ursprünglicher Client
+ Netzwerk: Extern (öffentl. IP-Adresse)
FTP-Server:
+ Firewall: integrierte WinFirewall mittlerweile sogar schon komplett deaktivert
+ FTP-Server: Filezilla-Server
Bei der ISA-Server-Protokollierung erscheint bei jedem Verbindungsversuch die Zeile:
Zielport 21 - Protokoll FTP - Quellnetzwerk: Extern - Zielnetzwerk: Lokaler Host - Aktion: Verweigerte Verbindung - Regel: Standardregel
Die FTP-Server-Regel steht aktiviert an 7. Evaluations-Reihenfolge... aber sie greift nicht...
Hallo!
Der FTP-Server (192.168.242.4) ist ein FileZilla-Server und funktioniert netzwerk-intern einwandfrei. Von allen Clients intern, egal aus welchem internen Netz (es gibt deren 13), kann ich mich mit egal welchem FTP-Client verbinden und Dateien hochladen/bearbeiten/....
Aber bei der Veröffentlichung des FTP-Servers happert es. Auf demselben Server liegt auch der WebServer (Apache HTTPD), dessen Veröffentlichung mit ISA über den Assistenten "Einen Webserver veröffentlichen" problemlos geklappt hat. Veröffentliche ich aber mit dem Assistenten "Ein Nicht-Webserver-Protokoll veröffentlichen" einen FTP-Server, wird jeder eingehende FTP-Verkehr von dieser Regel nicht erkannt und aufgrund der Standardregel abgelehnt.
Könnte mir da bitte jemand einen Tipp geben?
Danke, Stefan
Konfiguration:
FTP-Server-Veröffentichung am ISA-Server
+ von Extern
+ nach 192.168.242.4
+ Protokoll FTP-Server
+ Filterung: Nur lesen: deaktiviert
+ Ports: Standard
+ Ursprung: ursprünglicher Client
+ Netzwerk: Extern (öffentl. IP-Adresse)
FTP-Server:
+ Firewall: integrierte WinFirewall mittlerweile sogar schon komplett deaktivert
+ FTP-Server: Filezilla-Server
Bei der ISA-Server-Protokollierung erscheint bei jedem Verbindungsversuch die Zeile:
Zielport 21 - Protokoll FTP - Quellnetzwerk: Extern - Zielnetzwerk: Lokaler Host - Aktion: Verweigerte Verbindung - Regel: Standardregel
Die FTP-Server-Regel steht aktiviert an 7. Evaluations-Reihenfolge... aber sie greift nicht...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135332
Url: https://administrator.de/forum/ftp-server-ueber-isa-standard-2006-veroeffentlichen-135332.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
9 Kommentare
Neuester Kommentar
Prüfe mit einem Port Scanner ob wirklich die Ports TCP 20 und TCP 21 frei sind, denn die benötigt FTP.
Wenn du über eine NAT Firewall (Adress Translation) gehst solltest du zudem das hier zwingen beachten:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
bzw.
http://slacksite.com/other/ftp.html
Bei NAT funktioniert also nur passive FTP am Client ! Ein Passive FTP Client ist z.B. der im Firefox Browser wenn du im URL ftp://username:password@servername_oder_IP eingibst. Ansonsten der Filezilla Client macht auch passive FTP.
Wenn du über eine NAT Firewall (Adress Translation) gehst solltest du zudem das hier zwingen beachten:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
bzw.
http://slacksite.com/other/ftp.html
Bei NAT funktioniert also nur passive FTP am Client ! Ein Passive FTP Client ist z.B. der im Firefox Browser wenn du im URL ftp://username:password@servername_oder_IP eingibst. Ansonsten der Filezilla Client macht auch passive FTP.
Hi, hast du dir das mal durchgelesen?
http://support.microsoft.com/kb/925880/de
http://support.microsoft.com/kb/925880/de
Hallo!
Die Fehlermeldung erwähnt als Regel: Standardregel
das kommt mir irgendwie spanisch vor...
Die Regel namens "Standardregel" ist die erste, die aufgerufen wird (also als Reihenfolge "Letzte" eingetragen hat). Diese verhindert Grundsätzlich jeden Verkehr. Danach wird jede Regel der Reihenfolge nach abgearbeitet (dh, diejenige mit der Nummer 1 ist in Wirklichkeit die letzte, die abgearbeitet wird).
dies bedeutet: Wenn für den vom Client erwünschten Verkehr keine passende Regel dabei ist, dann meldet sich wieder die "Standardregel" und sagt "Verweigerte Verbindung" (eigentlich eh klar, oder?).
Daher vermute ich weiter: Keine deiner folgenden Regeln passt zu deinem Wunsch, von extern auf deinen Server zuzugreifen.
Ich vermute noch weiter:
vielleicht ist die Konfiguration bei Dir ohnehin richtig - und du hasts nur vergessen, hier hinzuschreiben, aber:
Du musst bei "EXTERN" zusätzlich auch die entsprechende IP-Adresse auswählen, über die von aussen auf Deinen FTP-Server zugegriffen wird.
Falls bei dir der default-wert "alle IP-Adressen" steht, erklärt es sich eigentlich von selbst, warum das nicht gut funktionieren kann....
dh, es muss richtig heissen:
von Extern 137.208.3.10
nach 192.168.242.4
usw
falls es daran nicht liegt...:
btw: Kann es sein, dass deine Regel deaktiviert ist?
letzter Tipp: manchmal hilft es, eine Regel einfach zu kicken und eine neue zu erstellen....
Es verstellt sich manchmal der Blick, wenn man zu lange auf Bestehendes blickt
hoffe, dass es daran liegt.
Kurzes Feedback, falls es funktioniert, wäre nett.
lg
Die Fehlermeldung erwähnt als Regel: Standardregel
das kommt mir irgendwie spanisch vor...
Die Regel namens "Standardregel" ist die erste, die aufgerufen wird (also als Reihenfolge "Letzte" eingetragen hat). Diese verhindert Grundsätzlich jeden Verkehr. Danach wird jede Regel der Reihenfolge nach abgearbeitet (dh, diejenige mit der Nummer 1 ist in Wirklichkeit die letzte, die abgearbeitet wird).
dies bedeutet: Wenn für den vom Client erwünschten Verkehr keine passende Regel dabei ist, dann meldet sich wieder die "Standardregel" und sagt "Verweigerte Verbindung" (eigentlich eh klar, oder?).
Daher vermute ich weiter: Keine deiner folgenden Regeln passt zu deinem Wunsch, von extern auf deinen Server zuzugreifen.
Ich vermute noch weiter:
vielleicht ist die Konfiguration bei Dir ohnehin richtig - und du hasts nur vergessen, hier hinzuschreiben, aber:
Du musst bei "EXTERN" zusätzlich auch die entsprechende IP-Adresse auswählen, über die von aussen auf Deinen FTP-Server zugegriffen wird.
Falls bei dir der default-wert "alle IP-Adressen" steht, erklärt es sich eigentlich von selbst, warum das nicht gut funktionieren kann....
dh, es muss richtig heissen:
von Extern 137.208.3.10
nach 192.168.242.4
usw
falls es daran nicht liegt...:
btw: Kann es sein, dass deine Regel deaktiviert ist?
letzter Tipp: manchmal hilft es, eine Regel einfach zu kicken und eine neue zu erstellen....
Es verstellt sich manchmal der Blick, wenn man zu lange auf Bestehendes blickt
hoffe, dass es daran liegt.
Kurzes Feedback, falls es funktioniert, wäre nett.
lg
edit:
Mit Routing und RAS kann es nichts zu tun haben.
Das läuft ja bei dir höchstens auf dem FTP-Server. Da Du auf diesen allerdings innerhalb Deines LANS ohne Probleme zugreifen kannst, scheitert es nur am ISA-Server bzw. der zugehörigen Firewall-Richtlinie!!!
edit2:
habe jetzt erst die blaue Unterüberschrift gelesen...
wofür sind in Deinem ISA 3 Netzwerkkarten verbaut?
Du brauchst eigentlich nur 2.
1.: LAN
2.: WAN
auf der WAN-Karte kannst du x-beliebig viele IP-Adressen eintragen (ich habe derzeit 20 drauf...). Aber Du musst halt zu jeder Firewallrichtlinie mit veröffentlichung nach Aussen auch die entpsrechende IP-Adresse definieren.
Kann es sein, dass Du da mit den 3 Karten ein Tohuwabohu bzgl. der Zuordnung zu Extern/Intern hast?
Mit Routing und RAS kann es nichts zu tun haben.
Das läuft ja bei dir höchstens auf dem FTP-Server. Da Du auf diesen allerdings innerhalb Deines LANS ohne Probleme zugreifen kannst, scheitert es nur am ISA-Server bzw. der zugehörigen Firewall-Richtlinie!!!
edit2:
habe jetzt erst die blaue Unterüberschrift gelesen...
wofür sind in Deinem ISA 3 Netzwerkkarten verbaut?
Du brauchst eigentlich nur 2.
1.: LAN
2.: WAN
auf der WAN-Karte kannst du x-beliebig viele IP-Adressen eintragen (ich habe derzeit 20 drauf...). Aber Du musst halt zu jeder Firewallrichtlinie mit veröffentlichung nach Aussen auch die entpsrechende IP-Adresse definieren.
Kann es sein, dass Du da mit den 3 Karten ein Tohuwabohu bzgl. der Zuordnung zu Extern/Intern hast?
Hola!
hab jetzt bei mir nochmal nachgesehen...
unter konfiguration/netzwerke/Netzwerke könntest du nochmal nachsehen, ob das DMZ wirklich am richtigen Adapter eingetragen ist (eigenschafen /adressen/adapter).
oder etwas ganz anderes:
könnte es sein, dass Du zwischen dem ISA und dem DMZ einen Router stehen hast, der Port 21 blockt?
wäre wieder mal so eine Lösung, auf die man selbst nicht kommt, weil man sich gedanklich im Kreis bewegt...
versuch mal vom ISA aus:
wenn da nichts zurückkommt, dann hätten wir den schuldigen... )
ansonsten hatte ich es auch schon mal bei einem Kunden, dass mir der ISA einen gepfiffen hat, nachdem ich diesen bei mir in der Firma aufgesetzt habe und dann beim Kunden die öffenltiche IP-Adresse in der Netzwerkumgebung änderte. Aus der Traum, da war auch nichts mit umkonfigurieren in konfiguration/netzwerke/Netzwerke
(bin dann - mangels der CD) wieder zurückgefahren (1h), CD geholt, hingefahren (1h), ISA neuinstalliert, dann lief wieder alles...
war ein ziemliches Verlustgeschäft damals
ich vermute, dass ISA so manches an sehr verstecktem Ort einträgt, wodurch die Sicherung der Firewallrichtlinien und anschliessende Neuinstallation von ISA oft die schnellere Problemlösungsvariante darstellt...
gutes gelingen
Feedback, ob ich dir helfen konnte, freut mich immer....
hab jetzt bei mir nochmal nachgesehen...
unter konfiguration/netzwerke/Netzwerke könntest du nochmal nachsehen, ob das DMZ wirklich am richtigen Adapter eingetragen ist (eigenschafen /adressen/adapter).
oder etwas ganz anderes:
könnte es sein, dass Du zwischen dem ISA und dem DMZ einen Router stehen hast, der Port 21 blockt?
wäre wieder mal so eine Lösung, auf die man selbst nicht kommt, weil man sich gedanklich im Kreis bewegt...
versuch mal vom ISA aus:
telnet ftpserver 21
wenn da nichts zurückkommt, dann hätten wir den schuldigen... )
ansonsten hatte ich es auch schon mal bei einem Kunden, dass mir der ISA einen gepfiffen hat, nachdem ich diesen bei mir in der Firma aufgesetzt habe und dann beim Kunden die öffenltiche IP-Adresse in der Netzwerkumgebung änderte. Aus der Traum, da war auch nichts mit umkonfigurieren in konfiguration/netzwerke/Netzwerke
(bin dann - mangels der CD) wieder zurückgefahren (1h), CD geholt, hingefahren (1h), ISA neuinstalliert, dann lief wieder alles...
war ein ziemliches Verlustgeschäft damals
ich vermute, dass ISA so manches an sehr verstecktem Ort einträgt, wodurch die Sicherung der Firewallrichtlinien und anschliessende Neuinstallation von ISA oft die schnellere Problemlösungsvariante darstellt...
gutes gelingen
Feedback, ob ich dir helfen konnte, freut mich immer....