Zwei FTP-Server hinter einer UTM 9 Software Appliance

Hallo,

ich habe das Problem das ich gerne zwei FTP-Server parallel auf einem Server betreiben will. Der eine läuft über den IIS-Manager und hört auf dem Port 21. Der zweite FTP-Server ist ein FileZilla Server und hört auf dem Port 8021.

In meiner UTM kann ich den FTP-Server über Port 21 einfach einrichten und auch problemlos von aussen erreichen.
Der FileZilla macht mir jedoch etwas Ärger. Ich habe in der UTM den Port 8021 freigegeben und auf den Server geleitet.

Die gute Nachricht ist, dass ich mich mit dem FileZilla verbinden kann. Die schlechte ist, das die UTM für den FileZilla den Datenport nicht öffnet. Ich bekomme den Inhalt des FTP nicht angezeigt und kann weder Dateien senden noch herunterladen.

Wie kann ich der UTM beibringen für den FileZilla den Datenport zu öffnen wie er es automatisch beim IIS-FTP auf Port 21 macht?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 302569

Url: https://administrator.de/contentid/302569

Ausgedruckt am: 25.11.2024 um 04:11 Uhr

10 Kommentare

Neuester Kommentar

moin,

was sagen denn die Logs?

Moin,

hast du den Filezilla mal aus dem Lan getestet? Dein Bild klingt eher nach einem Berechtigungsproblem.
Gruß

Der FileZilla gibt folgendes aus

(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> Connected on port 8021, sending welcome message...
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 220-FileZilla Server 0.9.56 beta
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 220-written by Tim Kosse (tim.kosse@filezilla-project.org)
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 220 Please visit https://filezilla-project.org/
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> AUTH TLS
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 502 Explicit TLS authentication not allowed
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> AUTH SSL
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 502 Explicit TLS authentication not allowed
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> USER ftpuser
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> 331 Password required for ftpuser
(000019)22.04.2016 12:19:51 - (not logged in) (10.0.0.121)> PASS ***
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 230 Logged on
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> SYST
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 215 UNIX emulated by FileZilla
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> FEAT
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 211-Features:
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  MDTM
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  REST STREAM
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  SIZE
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  MLST type*;size*;modify*;
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  MLSD
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  UTF8
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  CLNT
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  MFMT
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  EPSV
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)>  EPRT
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 211 End
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> PWD
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 257 "/" is current directory.  
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> TYPE I
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 200 Type set to I
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> PASV
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> 227 Entering Passive Mode (10,0,2,250,23,142)
(000019)22.04.2016 12:19:51 - ftpuser (10.0.0.121)> MLSD
(000019)22.04.2016 12:20:02 - ftpuser (10.0.0.121)> 425 Can't open data connection for transfer of "/"  
(000019)22.04.2016 12:21:09 - ftpuser (10.0.0.121)> disconnected.

Die Firewall gibt folgendes aus.

01:56 Standard-VERWERFEN TCP   10.0.2.250 : 8020  → 10.0.0.121 : 34100 [SYN] len=52 ttl=127 tos=0x02 dstmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 
02:02 Standard-VERWERFEN TCP   10.0.2.250 : 8020  → 10.0.0.121 : 34100 [SYN] len=48 ttl=127 tos=0x00 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 
07:48 Standard-VERWERFEN TCP   10.0.2.250 : 8020  → 10.0.0.121 : 34254 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 
07:51 Standard-VERWERFEN TCP   10.0.2.250 : 8020  → 10.0.0.121 : 34254 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 
07:57 Standard-VERWERFEN TCP   10.0.2.250 : 8020 → 10.0.0.121 : 34254 [SYN] len=48 ttl=127 tos=0x00 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 
09:28 Standard-VERWERFEN TCP   10.0.2.250 : 8020  → 10.0.0.121 : 34288 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 
09:31 Standard-VERWERFEN TCP   10.0.2.250 : 8020  → 10.0.0.121 : 34288 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 
13:58 Standard-VERWERFEN TCP   10.0.2.250 : 8020  → 10.0.0.121 : 34385 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 
14:01 Standard-VERWERFEN TCP   10.0.2.250 : 8020  → 10.0.0.121 : 34385 [SYN] len=52 ttl=127 tos=0x02 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 
14:07 Standard-VERWERFEN TCP   10.0.2.250 : 8020  → 10.0.0.121 : 34385 [SYN] len=48 ttl=127 tos=0x00 srcmac=00:0c:29:27:b6:d1 dstmac=00:0c:29:11:df:2e 

10.0.2.250 Ist die lokale IP des FTP-Servers
10.0.0.121 ist die lokale IP des Clients (meine)

10.0.2.250 : 8020

Wenn man eine FTP-Verbindung herstellt, muss man bedenken, dass es nicht ausreicht, nur einen Port zu öffnen. Für eine erfolgreiche Verbindung braucht man beim FTP-Protokoll zwei offene Ports: 20 und 21.

Ein FTP-Port ist für Kontroll- und Kommandodaten verantwortlich.
Der andere für die Übertragung der Daten, die man eigentlich versenden oder empfangen möchte.
Außerdem ist es wichtig, darauf zu achten, ob die Verbindung passiv oder aktiv ist

Moin

im Passivmodus müssen noch ein paar Ports eingehend zum Filezilla zugelassen werden. Default ist 1024 aufwärts, kannst Du aber in den Filezilla Server-Einstellungen anpassen.
Hier steht noch etwas zu den Einstellungen: https://wiki.filezilla-project.org/Network_Configuration

Port 20 wird imho nur im Active-Mode ausgehend benötigt

Gruß
Bernhard

Ich habe bereits alle Ports ab 1024 testweise freigegeben. Ich habe im Filezilla auch ports definiert und diese Freigegeben. Trotzdem blockiert die Firewall mir den zweiten Datenkanal.

Und was hast du mit 8020 gemacht?

Verwirft die Firewall eingehende oder ausgehende Pakete ?

Einfach mal den Wireshark anschmeissen und nachsehen... Da sieht man dann sofort und ohne Raterei was los ist !

Hallo,

wie genau hast du die verschiedenen Ports für den FTP 2 freigeben?

Soweit ich weiß müsste die Regel wie folgt lauten:

UTM --> Network Protection --> NAT

Neue NAT-Regel anlegen mit folgenden Parametern:

From "ANY" to "External Adress" --> "Ports auswählen" ---> Ziel ändern in "IP-FTP2"

Der Dienst bleibt identisch. Für mehrere Ports müssen eventuell mehrere Regeln erstellt werden!

Wichtig ist auch der Hacken bei "Automatische Firewallregel". Denn laut Screenshot wird der Traffic von FTP2 zurück zum Client gelockt!

Gruß ProvidedLan

gelöst Frage Sicherheit Firewall

Mehr von iGordon

Aufgaben aus dem Sharepoint 2013 mit Exchange 2013 und Outlook 2013 synchronisiereniGordon - 4 Kommentare

Access 2016 vertauscht Monat und Tag in meiner CSV DateiiGordon - 1 Kommentar

MSI Dateien als Administrator von einer HTA installiereniGordon - 1 Kommentar

KB3184730 (Exchange Updaterollup 16) wird im WSUS nicht angezeigtiGordon - 2 Kommentare

Heiß diskutiert