ftp Verbindung zwischen router (client) und software-firewall (server)

#1 Hi,

erstmal hoffe ich, ich hab das richtige Forum erwischt.

Ein Freund von mir hat in seiner Firma einen ftp-server installiert (serv-u). Auf dem Rechner in der Firma ist eine software firewall installiert. Aus administratieven Gründen darf er für seinen ftp-server nur einen port in der firewall öffnen.

Ich sitze hinter einem router und möchte auf seinen ftp-server zugreifen.
Ich frage mich nun, gibt es eine Möglichkeit, dass ich auf den ftp-server connecten kann, ohne dass weitere ports bei meinem Freund geöffnet werden? Geht das überhaupt? Kann ich meine routereinstellungen soweit abändern, dass es geht?

Das Problem liegt ja daran, dass zwei "firewalls" aufeinander treffen und somit der ftp transfer weder über den activen noch über den passiven modus funkioniert. Aber nicht nur der transfer funktioniert nicht, auch das Auflisten der Verzeichnisse klappt schon nicht.

Ich habe eine .pdf , die die Problematik dahinter genauer beschreibt! Ich habe sie mir nun zwar schon zwei mal durchgelesen, auf eine Lösung meines Problems komme ich aber trotzdem nicht. Leider kann ich sie hier nicht anhängen, aber wer den Text haben möchte....einfach mich kontaktieren!

Ich habe schon in vielen Foren danach gefragt, aber leider ohne erfolg. Ich hoffe hier gibt es jemanden der mir das ganze nahebringen kann.

Ich danke schonmal vielmals im Vorraus!

#2 @gunknown

Bitte Suchfunktion nutzen, passive und active ftp sowie ftp connections im Allgemeinen wurden hier etlichemale Besprochen. Dankeschön.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Danke erst mal für das sehr ausführliche Dokument. Ist ja wirklich umfassend.
Ein paar Anmerkungen.

1. Den Server sollte optimalerweise eigentlich hinter der Firewall stehen und nicht auf dem Rechner installiert sein, auf dem auch die Firewall-Anwendung läuft. Nur mal angenommen, der ftp.Server enthält einen Fehler, durch den eine DOS-Attacke-möglich ist, wäre damit nicht nur der ftp-Server, sondern evtl. auch die Firewall und somit der Schutz für das restliche Netzwerk deaktiviert.
(Vermutlich erfüllt der Rechner auch noch Routing-Funktionen !??)

2. Dann stellt sich die Frage, welcher Art die Firewall denn ist (Hersteller ?, reiner Paket-Filter ? Zustandsorientierter Paketfilter ?)

3. Ein Linux-Router mit IPtables leistet für solche Fälle gute Dienste. In Iptables gibt es die Möglichkeit, dass zugehörige Verbindungen zu einer schon bestehenden verbindung erkannt werden und nicht extra über das Ruleset definiert werden müssen. Insofern werden speziell bei ftp-Verbindungen nur für den Zeitraum der Verbindung die zusätzlichen Ports erlaubt.

4. Vermutlich eignet sich für euren Fall (um dem Freund mit dem Server und seinen Auflagen für Portfreigaben entgegenzukommen) ein Activ-Ftp-Server.
Das erfordeert, dass der Client dann eingehende Verbindungen für die Datenübertragung zulässt. Dein Freund müsste lediglich Port 21 für einen Verbindungsaufbau freigeben, der Rest liegt auf Client-Seite.

So als Kurz-Zusammenfassung:
http://board.protecus.de/t4580.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen