6
ISA 2006 blockt FTP Zugriff
Hallo,
ich benötige ein wenig Hilfe und hoffe auf hilfreiche Antworten, auch wenn das hier beschriebene System schon älter ist und sicherlich nicht mehr häufig verwendet wir. Ich administriere einen Schulserver und bin kein IT-Profi, daher bitte keine Antworten in Richtung "System updaten" oder "Support läuft demnächst aus". Das weiß ich selbst
Ich habe auf Win 2003 Server den FTP Dienst installiert. Ich möchte von außen mittels FTP Dateien hochladen können, allerdings fehlen letzte Einstellungen im ISA.
Eine Verbindung zum Server mittels FTP lässt sich herstellen, Ports am Router sind geöffnet. Netzintern, wenn ich also mit dem Rechner im Schulnetz die Verbindung aufrufe, funktioniert alles bestens.
Teste ich das Ganze von zu Hause, dann erhalte ich die Meldung "425 Can't open data connection." Der Verzeichnisinhalt vom entfernten Rechner wird nicht aufgelistet. Ein Upload funktioniert, jedoch kommt nur der Dateiname mit leerem Dateiinhalt an.
Eine FTP Regel existiert im ISA, allerdings scheint diese nicht ausreichend zu sein. Muss da unter Umständen noch eine Veröffentlichungsregel eingefügt werden? Oder an ganz anderer Stelle geschraubt werden?
Bin für jeden Tipp/Hinweis dankbar.
Gruß
ich benötige ein wenig Hilfe und hoffe auf hilfreiche Antworten, auch wenn das hier beschriebene System schon älter ist und sicherlich nicht mehr häufig verwendet wir. Ich administriere einen Schulserver und bin kein IT-Profi, daher bitte keine Antworten in Richtung "System updaten" oder "Support läuft demnächst aus". Das weiß ich selbst
Ich habe auf Win 2003 Server den FTP Dienst installiert. Ich möchte von außen mittels FTP Dateien hochladen können, allerdings fehlen letzte Einstellungen im ISA.
Eine Verbindung zum Server mittels FTP lässt sich herstellen, Ports am Router sind geöffnet. Netzintern, wenn ich also mit dem Rechner im Schulnetz die Verbindung aufrufe, funktioniert alles bestens.
Teste ich das Ganze von zu Hause, dann erhalte ich die Meldung "425 Can't open data connection." Der Verzeichnisinhalt vom entfernten Rechner wird nicht aufgelistet. Ein Upload funktioniert, jedoch kommt nur der Dateiname mit leerem Dateiinhalt an.
Eine FTP Regel existiert im ISA, allerdings scheint diese nicht ausreichend zu sein. Muss da unter Umständen noch eine Veröffentlichungsregel eingefügt werden? Oder an ganz anderer Stelle geschraubt werden?
Bin für jeden Tipp/Hinweis dankbar.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 245463
Url: https://administrator.de/contentid/245463
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo doschtinator,
dir fehlt sehr wahrscheinlich die Freigabe der Ports für die Data-Connection der FTP-Verbindung:
FTP Server geht von außen nicht
Die Freigabe von Port 21 reicht nicht, da dieser Port nur für die Control-Connection vorgesehen ist, über den die FTP-Befehle laufen. Die Daten jedoch laufen im passiven Modus über dynamische Ports. Mehr dazu steht hier: http://www.alenfelder.com/Informatik/pass-akt-ftp.html
Der passive Portrange des IIS-FTP Service lässt sich Konfigurieren:
http://support.microsoft.com/kb/555022/en-us
Diesen Portrange musst du dann ebenfalls auf dem Router und der Firewall freigeben. Wenn du das beachtest läuft euer FTP-Server wie gewünscht!
Grüße Uwe
dir fehlt sehr wahrscheinlich die Freigabe der Ports für die Data-Connection der FTP-Verbindung:
FTP Server geht von außen nicht
Die Freigabe von Port 21 reicht nicht, da dieser Port nur für die Control-Connection vorgesehen ist, über den die FTP-Befehle laufen. Die Daten jedoch laufen im passiven Modus über dynamische Ports. Mehr dazu steht hier: http://www.alenfelder.com/Informatik/pass-akt-ftp.html
Der passive Portrange des IIS-FTP Service lässt sich Konfigurieren:
http://support.microsoft.com/kb/555022/en-us
Diesen Portrange musst du dann ebenfalls auf dem Router und der Firewall freigeben. Wenn du das beachtest läuft euer FTP-Server wie gewünscht!
Grüße Uwe
Hi,
bei mir funktioniert es so, als dass ich auf dem 2003er-Server den kostenlosen FileZilla-Server installiert habe.
Auf meinem TMG (mehr oder weniger identischer ISA-Nachfolger) habe ich eine Webzugriffsrichtinie für FTP,
die kurz besschrieben wie folgt aussieht:
Aktion: Zulassen, Datenverkehr: (Protokoll-)Gruppe "FTP-Server" (nur Port 21 TCP, mit "FTP-Zugriffsfilter"-Haken AN),
Von: Extern&lokaler Host, Nach: IP des 2003er mit FileZilla (Haken AN bei Ursprung scheint der TMG zu sein),
Netzwerke(der Listener): Extern, Zeitplan: alles
Dann noch RechtsKlick auf die Regel, -> FTP konfigurieren -> Haken bei "Nur-Lesen" RAUS
Intern greife ich einfach direkt auf den Filezilla zu, umgehe den externen Listener des TMGs.
Im FileZilla einfach einen User anlegen (ist natürlich nicht AD-integriert) und Berechtigungen auf Ordnerfreigaben
(auch anderer LANseitiger Server) vergeben,
den Benutzernamen auch von extern über den TMG verwenden.
Kannst die Regel ja mal abgleichen, auch ohne den FileZilla zu nehmen. Evtl. das Nur-Lesen-Häkchen ?
Gruss RS
bei mir funktioniert es so, als dass ich auf dem 2003er-Server den kostenlosen FileZilla-Server installiert habe.
Auf meinem TMG (mehr oder weniger identischer ISA-Nachfolger) habe ich eine Webzugriffsrichtinie für FTP,
die kurz besschrieben wie folgt aussieht:
Aktion: Zulassen, Datenverkehr: (Protokoll-)Gruppe "FTP-Server" (nur Port 21 TCP, mit "FTP-Zugriffsfilter"-Haken AN),
Von: Extern&lokaler Host, Nach: IP des 2003er mit FileZilla (Haken AN bei Ursprung scheint der TMG zu sein),
Netzwerke(der Listener): Extern, Zeitplan: alles
Dann noch RechtsKlick auf die Regel, -> FTP konfigurieren -> Haken bei "Nur-Lesen" RAUS
Intern greife ich einfach direkt auf den Filezilla zu, umgehe den externen Listener des TMGs.
Im FileZilla einfach einen User anlegen (ist natürlich nicht AD-integriert) und Berechtigungen auf Ordnerfreigaben
(auch anderer LANseitiger Server) vergeben,
den Benutzernamen auch von extern über den TMG verwenden.
Kannst die Regel ja mal abgleichen, auch ohne den FileZilla zu nehmen. Evtl. das Nur-Lesen-Häkchen ?
Gruss RS
Hallo und danke für die Tipps.
Leider bin ich nicht weiter gekommen. Ich habe die PortRange festgelegt und im ISA versucht diese einzutragen. Ob ich das richtig gemacht habe sei dahin gestellt TCP oder UDP oder ...???
Ich poste mal den log des FTP-Programms:
Status: Verbinde mit x.y.z.a:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 Microsoft FTP Service
Befehl: USER pdu
Antwort: 331 Password required for pdu.
Befehl: PASS *
Antwort: 230-Willkommen auf dem MRS FTP-Server
Antwort: 230 User pdu logged in.
Status: Der Server unterstützt keine Nicht-ASCII-Zeichen.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (x,y,z,a,21,129).
Befehl: LIST
Antwort: 425 Can't open data connection.
Fehler: Verzeichnisinhalt konnte nicht empfangen werden
Was ich nicht ganz verstehe, ist die letzte Zahl bei
Antwort: 227 Entering Passive Mode (x,y,z,a,21,129).
21 ist der Port für FTP, aber 129 ??? Dieser ändert sich auch jeweils bei den neuen Verbindungsversuchen. Sollte da aber jetzt nicht ein Wert zwischen 5500 und 5700 stehen, oder verstehe ich da was falsch?
Zur Not versuche ich mich auch mit dem FileZilla Server, was aber eigentlich keinen Unterschied machen sollte.
Die Ports auf dem Router sind nahezu alle offen, zumindest die, die für FTP genutzt werden. (Meines Wissen alles >1023 ist offen)
Bin für weitere Tipps dankbar. Gruß
Leider bin ich nicht weiter gekommen. Ich habe die PortRange festgelegt und im ISA versucht diese einzutragen. Ob ich das richtig gemacht habe sei dahin gestellt
TCP oder UDP oder ...???Ich poste mal den log des FTP-Programms:
Status: Verbinde mit x.y.z.a:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 Microsoft FTP Service
Befehl: USER pdu
Antwort: 331 Password required for pdu.
Befehl: PASS *
Antwort: 230-Willkommen auf dem MRS FTP-Server
Antwort: 230 User pdu logged in.
Status: Der Server unterstützt keine Nicht-ASCII-Zeichen.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (x,y,z,a,21,129).
Befehl: LIST
Antwort: 425 Can't open data connection.
Fehler: Verzeichnisinhalt konnte nicht empfangen werden
Was ich nicht ganz verstehe, ist die letzte Zahl bei
Antwort: 227 Entering Passive Mode (x,y,z,a,21,129).
21 ist der Port für FTP, aber 129 ??? Dieser ändert sich auch jeweils bei den neuen Verbindungsversuchen. Sollte da aber jetzt nicht ein Wert zwischen 5500 und 5700 stehen, oder verstehe ich da was falsch?
Zur Not versuche ich mich auch mit dem FileZilla Server, was aber eigentlich keinen Unterschied machen sollte.
Die Ports auf dem Router sind nahezu alle offen, zumindest die, die für FTP genutzt werden. (Meines Wissen alles >1023 ist offen)
Bin für weitere Tipps dankbar. Gruß
Was ich nicht ganz verstehe, ist die letzte Zahl bei
damit lässt sich der verwendete Port berechnen, wie , steht bereits hier: FTP Client: Cannot list server directory(21*256)+129 = 5505
Hallo,
Naja, nicht richtig eingetragen bedeutet eben das es nicht gehen wird
Das wirst du schon richtig machen müssen
http://www.isaserver.org/articles-tutorials/configuration-general/Publi ...
Wie FTP funktioniert:
http://www.techrepublic.com/article/how-ftp-port-requests-challenge-fir ...
Gruß,
Peter
Naja, nicht richtig eingetragen bedeutet eben das es nicht gehen wird
Das wirst du schon richtig machen müssen http://www.isaserver.org/articles-tutorials/configuration-general/Publi ...
Antwort: 227 Entering Passive Mode (x,y,z,a,21,129).
Das ist der Port in Hexadezimale Schreibweise der für die Daten genutzt werden soll.((219 * 256) + 129 = Portnummer)Zur Not versuche ich mich auch mit dem FileZilla Server
Dem ISA ist es wurscht was du nutzt, er muss nur korrekt eingestellt werden.Die Ports auf dem Router sind nahezu alle offen
Äußerst gefährlich, schleunigst wieder alles zu machen.Wie FTP funktioniert:
http://www.techrepublic.com/article/how-ftp-port-requests-challenge-fir ...
Gruß,
Peter
Die Ports auf dem Router sind nahezu alle offen
Äußerst gefährlich, schleunigst wieder alles zu machen.
Äußerst gefährlich, schleunigst wieder alles zu machen.
Ja, ist jetzt erst mal zum Testen um den Router als Fehlerquelle asuzuschließen. Danke für den Hinweis!
