skrejci
Goto Top

FTP-Server über ISA Standard 2006 veröffentlichen

Hinter der Hardware-Firewall, wo die Glasfaser reinkommt, steht ein ISA Server 2006 Standard. Von diesem weg gehen über die einer Netzwerkkarte das interne, und über eine dritte Netzwerkkarte das Umkreisnetzwerk mit www- und ftp-Server.

Hallo!
Der FTP-Server (192.168.242.4) ist ein FileZilla-Server und funktioniert netzwerk-intern einwandfrei. Von allen Clients intern, egal aus welchem internen Netz (es gibt deren 13), kann ich mich mit egal welchem FTP-Client verbinden und Dateien hochladen/bearbeiten/....

Aber bei der Veröffentlichung des FTP-Servers happert es. Auf demselben Server liegt auch der WebServer (Apache HTTPD), dessen Veröffentlichung mit ISA über den Assistenten "Einen Webserver veröffentlichen" problemlos geklappt hat. Veröffentliche ich aber mit dem Assistenten "Ein Nicht-Webserver-Protokoll veröffentlichen" einen FTP-Server, wird jeder eingehende FTP-Verkehr von dieser Regel nicht erkannt und aufgrund der Standardregel abgelehnt.

Könnte mir da bitte jemand einen Tipp geben?

Danke, Stefan

Konfiguration:

FTP-Server-Veröffentichung am ISA-Server
+ von Extern
+ nach 192.168.242.4
+ Protokoll FTP-Server
+ Filterung: Nur lesen: deaktiviert
+ Ports: Standard
+ Ursprung: ursprünglicher Client
+ Netzwerk: Extern (öffentl. IP-Adresse)

FTP-Server:
+ Firewall: integrierte WinFirewall mittlerweile sogar schon komplett deaktivert
+ FTP-Server: Filezilla-Server

Bei der ISA-Server-Protokollierung erscheint bei jedem Verbindungsversuch die Zeile:
Zielport 21 - Protokoll FTP - Quellnetzwerk: Extern - Zielnetzwerk: Lokaler Host - Aktion: Verweigerte Verbindung - Regel: Standardregel
Die FTP-Server-Regel steht aktiviert an 7. Evaluations-Reihenfolge... aber sie greift nicht...

Content-ID: 135332

Url: https://administrator.de/forum/ftp-server-ueber-isa-standard-2006-veroeffentlichen-135332.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

aqui
aqui 06.02.2010 um 17:13:57 Uhr
Goto Top
Prüfe mit einem Port Scanner ob wirklich die Ports TCP 20 und TCP 21 frei sind, denn die benötigt FTP.
Wenn du über eine NAT Firewall (Adress Translation) gehst solltest du zudem das hier zwingen beachten:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
bzw.
http://slacksite.com/other/ftp.html
Bei NAT funktioniert also nur passive FTP am Client ! Ein Passive FTP Client ist z.B. der im Firefox Browser wenn du im URL ftp://username:password@servername_oder_IP eingibst. Ansonsten der Filezilla Client macht auch passive FTP.
sKrejci
sKrejci 06.02.2010 um 17:59:09 Uhr
Goto Top
Hallo!

Danke für die Infos. Port 20/21 sind definitiv offen, ich verwende NAT, und auch eine passive Verbindung.
Ich habe in ISA Server auch bereits ein eigenes Protokoll mit TCP 20/21 eingehend und sekundäre Verbindungen auf > 1024 angelegt. Jetzt erkennt er zwar die Firewallrichtlinie, die Verbindung bleibt aber verweigert...
Kann das vielleicht mit dem Routing & RAS - Dienst zusammenhängen?

Stefan
ulle2k4
ulle2k4 06.02.2010 um 23:15:18 Uhr
Goto Top
Hi, hast du dir das mal durchgelesen?
http://support.microsoft.com/kb/925880/de
Edi.Pfisterer
Edi.Pfisterer 07.02.2010 um 15:41:25 Uhr
Goto Top
Hallo!

Die Fehlermeldung erwähnt als Regel: Standardregel

das kommt mir irgendwie spanisch vor...
Die Regel namens "Standardregel" ist die erste, die aufgerufen wird (also als Reihenfolge "Letzte" eingetragen hat). Diese verhindert Grundsätzlich jeden Verkehr. Danach wird jede Regel der Reihenfolge nach abgearbeitet (dh, diejenige mit der Nummer 1 ist in Wirklichkeit die letzte, die abgearbeitet wird).
dies bedeutet: Wenn für den vom Client erwünschten Verkehr keine passende Regel dabei ist, dann meldet sich wieder die "Standardregel" und sagt "Verweigerte Verbindung" (eigentlich eh klar, oder?).

Daher vermute ich weiter: Keine deiner folgenden Regeln passt zu deinem Wunsch, von extern auf deinen Server zuzugreifen.

Ich vermute noch weiter:
vielleicht ist die Konfiguration bei Dir ohnehin richtig - und du hasts nur vergessen, hier hinzuschreiben, aber:

Du musst bei "EXTERN" zusätzlich auch die entsprechende IP-Adresse auswählen, über die von aussen auf Deinen FTP-Server zugegriffen wird.

Falls bei dir der default-wert "alle IP-Adressen" steht, erklärt es sich eigentlich von selbst, warum das nicht gut funktionieren kann....

dh, es muss richtig heissen:
von Extern 137.208.3.10
nach 192.168.242.4
usw

falls es daran nicht liegt...:

btw: Kann es sein, dass deine Regel deaktiviert ist?
letzter Tipp: manchmal hilft es, eine Regel einfach zu kicken und eine neue zu erstellen....
Es verstellt sich manchmal der Blick, wenn man zu lange auf Bestehendes blickt face-wink


hoffe, dass es daran liegt.
Kurzes Feedback, falls es funktioniert, wäre nett.
lg
Edi.Pfisterer
Edi.Pfisterer 07.02.2010 um 15:44:42 Uhr
Goto Top
edit:
Mit Routing und RAS kann es nichts zu tun haben.
Das läuft ja bei dir höchstens auf dem FTP-Server. Da Du auf diesen allerdings innerhalb Deines LANS ohne Probleme zugreifen kannst, scheitert es nur am ISA-Server bzw. der zugehörigen Firewall-Richtlinie!!!

edit2:
habe jetzt erst die blaue Unterüberschrift gelesen...
wofür sind in Deinem ISA 3 Netzwerkkarten verbaut?
Du brauchst eigentlich nur 2.

1.: LAN
2.: WAN

auf der WAN-Karte kannst du x-beliebig viele IP-Adressen eintragen (ich habe derzeit 20 drauf...). Aber Du musst halt zu jeder Firewallrichtlinie mit veröffentlichung nach Aussen auch die entpsrechende IP-Adresse definieren.

Kann es sein, dass Du da mit den 3 Karten ein Tohuwabohu bzgl. der Zuordnung zu Extern/Intern hast?
sKrejci
sKrejci 14.02.2010 um 12:02:32 Uhr
Goto Top
Hallo!
Vielen Dank für deine Tips! Leider hat sich das Problem immer noch nicht gelöst...

Drei Netzwerkkarten habe ich deswegen, weil ich eine Umkreisnetzwerk-Struktur habe: 1 fürs WAN, 1 fürs LAN und 1 fürs Umkreisnetzwerk. Die Netzwerk-Zuordnungen habe ich unter Konfiguration --> Netzwerke --> Netzwerke überprüft, diese sind korrekt eingetragen. Auf der WAN-Karte habe ich auch mehrere, nämlich 4 IP-Adressen eingetragen. Eine davon für den ISA-Server selbst, eine für den Mail-Server, der im internen Netzwerk steht - und dessen OWA-Veröffentlichung einwandfrei über den ISA-Assistenten funktioniert hat. Eine dritte für den Web-, FTP- und Datenbank-Server, der im Umkreisnetzwerk steht und auch nicht Mitglied der internen Domäne ist. Die Webserver-Veröffentlichung hab ebenfalls einwandfrei mit dem ISA-Assistenten funktionert. Daher wollte ich den FTP-Server ebenfalls über den ASsistenten "Nicht-Webserver-Protokolle veröffentlichen" publishen, aber diese Regel greift wie gesagt nicht. Also von extern, von intern greift sie tadellos.

Da auch der restliche Datenverkehr (seit zwei Jahren) einwandfrei geroutet wird, nehme ich mal an, dass die grundlegende Konfiguration der Netzwerke in Ordnung ist.

Bei der FTP-Server-Veröffentlichungsregel habe ich Extern inkl. öffentl. IP-Adresse angegeben, beim Zielnetzwerk die IP-Adresse des FTP-Servers. Was mich irritiert, ist, dass bei der verweigerten Regel immer von "Extern" nach "LOKALER HOST" (Betonung auf letzteres) angezeigt wird, und nicht der FTP-Server.
Ich verstehe eine Serververöffentlichung so, dass bei einem veröffentlichten Protokoll der ISA-Server "so tut", als sei er dieser Server, und leitet den Datenverkehr entsprechend der Veröffentlichung weiter. Zumindest entnehme ich diese Interpretation der Literatur so. Hab ich da leicht einen Verständnisfehler?

Ich hab die Regel auch schon (mehrmals) gemüllt, und neu konfiguriert - auch mit mehreren Tagen als Vergessens-Puffer face-wink -, aber leider nix.

Was mich bei der Firewall-Richtlinien-Anzeige beim ISA ein wenig irrigiert, ist, dass sowohl bei der OWA- als auch der WWW-Veröffentlichung jeweils ein Listener konfiguriert werden musste, und dementsprechend das Symbol der Richtlinie anders ist. Bei der FTP-Veröffentlichung bekomme ich ein anderes Symbol - dasselbe wie bei der SMTP-Veröffentlchung, welche erstens wieder auf den Mailserver im internen Netzwerk zeigt, und zweitens ebenfalls einwandfrei funktioniert.

Nächste Irritation: Ich habe eine Regel mit "gesamten Datenverkehr" von "alle Netzwerke (und lok. Host)" bis "alle Netzwerke (und lok. Host)" mal kurz geöffnet - und die Veröffentlichung funktioniert auch nicht. Allerdings heißts dort auch "ausgehender" Datenverkehr, und nicht eingehender...

Du siehst, ich weiß echt nicht mehr weiter... Danke für jeden Tipp!

Liebe Grüße, Stefan
sKrejci
sKrejci 03.03.2010 um 14:35:44 Uhr
Goto Top
Update: Ich habe jetzt testweise einen FTP-Server auf dem Domänencontroller im internen Netzwerk installiert und über den ISA-Server veröffentlicht - und hier geht die Veröffentlichung sofort, einwandfrei und problemlos!
Welche Konfigurationseinstellung übersehe ich da, dass die Veröffentlichung aus dem Umkreisnetzwerk nicht funktioniert?

Edit: Mir ist aufgefallen, dass beim Mitprotokollieren bei der funktionierenden Veröffentlichung als Ziel-IP die tatsächliche, interne IP des Servers angeführt ist. Bei der nicht funktionierenden Veröffentlichung ist jedoch die externe IP angegeben. Kann das heißen, dass das Natten auf der vorgeschalteten Hardware-Firewall nicht richtig funktioniert?

LGs Stefan
sKrejci
sKrejci 03.03.2010 um 16:29:24 Uhr
Goto Top
Okay, jetzt hab ich's - endlich:
Das Netzwerkverhältnis vom Umkreisnetzwerk war auf Route festgelegt - umgeändert auf NAT, und die Sache funktioniert.
Stefan
Edi.Pfisterer
Edi.Pfisterer 03.03.2010 um 16:37:28 Uhr
Goto Top
Hola!
hab jetzt bei mir nochmal nachgesehen...
unter konfiguration/netzwerke/Netzwerke könntest du nochmal nachsehen, ob das DMZ wirklich am richtigen Adapter eingetragen ist (eigenschafen /adressen/adapter).

oder etwas ganz anderes:
könnte es sein, dass Du zwischen dem ISA und dem DMZ einen Router stehen hast, der Port 21 blockt?
wäre wieder mal so eine Lösung, auf die man selbst nicht kommt, weil man sich gedanklich im Kreis bewegt...

versuch mal vom ISA aus:
telnet ftpserver 21

wenn da nichts zurückkommt, dann hätten wir den schuldigen... face-wink)

ansonsten hatte ich es auch schon mal bei einem Kunden, dass mir der ISA einen gepfiffen hat, nachdem ich diesen bei mir in der Firma aufgesetzt habe und dann beim Kunden die öffenltiche IP-Adresse in der Netzwerkumgebung änderte. Aus der Traum, da war auch nichts mit umkonfigurieren in konfiguration/netzwerke/Netzwerke

(bin dann - mangels der CD) wieder zurückgefahren (1h), CD geholt, hingefahren (1h), ISA neuinstalliert, dann lief wieder alles...
war ein ziemliches Verlustgeschäft damals face-wink

ich vermute, dass ISA so manches an sehr verstecktem Ort einträgt, wodurch die Sicherung der Firewallrichtlinien und anschliessende Neuinstallation von ISA oft die schnellere Problemlösungsvariante darstellt...

gutes gelingen
Feedback, ob ich dir helfen konnte, freut mich immer....