keine Daten mit FTP Server hinter Router

Member

Beiträge: 686

#1 Guten Abend,

ich habe mir vor ein paar Tagen ein Freecom FSG3 gekauft, das ist sozusagen eine Festplatte, die man auch aus dem Internet erreichen kann. Man kann das Ding als File-, Print-, FTP-, HTTP- und Webserver betreiben und und und.
Ich habe das Teil zuerst mal hinter meinen Router geklemmt und den FTP-Server geöffnet. Im LAN funktioniert das ganz prima. Dann habe ich am Router die Ports 20 und 21 zum forwarding auf die IP des FSG freigegeben, aber leider funktioniert FTP vom Internet aus nicht. Das heißt die Verbindung kommt über passive FTP zustande (login und PW ok), aber es kommen keine Daten rüber ("error reading directory"). Dies alles getestet mit mehreren FTP Clients.

Nach mehreren Stunden Internetsuche (incl. hier die Boardsuche) bin ich nur wenig weiter gekommen. Da offensichtlich im passive Mode für die Daten vom Server beliebige Ports >1024 verwendet werden, müsste ich ja im Router auch beliebige Ports forwarden; das kann es ja nicht sein, oder?
Nun habe ich die Idee, das FSG als DMZ freizugeben. Das müsste eigentlich gehen, denn das FSG hat eine eigene Firewall, und wenn ich damit nur FTP nutze, dann wird auf dem Gerät selber ja nur 21 offen gelassen; und für das restliche LAN bleibt die Firewall zu, denke ich. Im Moment traue ich mich das noch nicht so recht, ich will nicht, dass mir irgendwelche Script Kiddies das LAN zerbröseln.

Was mache ich am besten?

Gruß Reinhart

01.01.2007, 20:10

RollaCoasta

Member

Beiträge: 462

#2 Hi rherder,

ich habe ein ähnliches Laufwerk einer anderen Firma. Da steht im Manual sie würden für den FTP-Server (wenn man den einrichtet) Port 8021 nehmen. Hast du schon in deinem Handbuch geschaut, ob Freecom da vielleicht auch einen anderen (als den üblichen) Port nimmt?

Gruß und gutes neues Jahr
RollaCoasta
__________
U can get it if u really want! (J.Cliff)

01.01.2007, 20:32

Member

Themenstarter

Beiträge: 686

#3 Grüß dich RollaCoasta, dir auch ein frohes Neues!

In dem "Handbuch" steht dazu nix, aber laut Log von der Routerfirewall scheint es so zu sein, dass für jeden Klick auf einen Ordner ein anderer Port >50000 gebraucht wird. Ich muss sagen, ich blicke da nicht so recht durch....

Das mit der DMZ war ein Denkfehler: Wir benutzen ja das FSG im LAN mit ner Reihe offener Ports, die wären ja dann auch nach außen offen. Das geht also nicht.

02.01.2007, 10:56

Member

Beiträge: 647

#4 Portforwarding auf die IP des FSG sollte eigentlich ohne Probleme gehen, wie gesagt es muss nur der richtige Port benutzt werden, es reicht normalerweise sogar nur der Port 21 dafür (wenn der Server auf diesem Port lauscht), Port 20 wird für ausgehende Verbindungen benutzt und muß daher nicht gemapped werden.
Am besten scannst du die Platte mal nach offenen Ports, nmap (linux) oder superscan (windows) leisten da gute Dienste.

Was mir noch einfällt: Du hast hoffentlich versucht über die öffentliche IP zuzugreifen, nicht über die interne...
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

02.01.2007, 11:35

Member

Beiträge: 5291

Zitat

, nmap (linux) oder superscan (windows) leisten da gute Dienste.

nmap gibts auch auf windows soweit ich weiss

Zitat

Ich habe das Teil zuerst mal hinter meinen Router geklemmt und den FTP-Server geöffnet. Im LAN funktioniert das ganz prima. Dann habe ich am Router die Ports 20 und 21 zum forwarding auf die IP des FSG freigegeben, aber leider funktioniert FTP vom Internet aus nicht. Das heißt die Verbindung kommt über passive FTP zustande (login und PW ok), aber es kommen keine Daten rüber ("error reading directory"). Dies alles getestet mit mehreren FTP Clients.

Naja port 21 für ftp-data wird nicht genug sein, evntl. willst du passive FTP.
Das ist ja auch logisch da heute min. jeder 2 hinter einen Router sitzt, da ist active FTP kaum noch möglich - du solltest dir unbedingt dies hier durchlesen:
http://de.wikipedia.org/wiki/File_Transfer_Protocol
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

02.01.2007, 11:51

Member

Beiträge: 647

Zitat

Xeper postete nmap gibts auch auf windows soweit ich weiss

Schon richtig, aber die Windows-Portierung ist längst nicht so stabil und gelungen wie der Linux-Port, daher empfehle ich diese auch niemanden.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

02.01.2007, 12:29

Member

Themenstarter

Beiträge: 686

Zitat

Xeper postete
du solltest dir unbedingt dies hier durchlesen:
http://de.wikipedia.org/wiki/File_Transfer_Protocol

Na ja, ich habe über active und passive FTP schon das ganze Internet runtergelesen

Ich rede nicht einfach so ins Blaue

Am schönsten finde ich den Link:
http://olli.informatik.uni-oldenburg.de/janssen_neumann/Lernprogramm/ftp1.htm
Da kannst du auf passive klicken und man zeigt dir genau, was mit den Ports passiert.
Im LAN bei mir funktioniert ja FTP, und da kann ich das Problem mit dem zweiten Port für die Datenübertragung sehr schön mit Ethereal nachvollziehen. Unmittelbar vor der Übertragung der Daten schaltet der Client auf einen Port >50000 (der ist aber bei jedem Connect wieder anders). Danach läuft die Kommunikation über diesen Server-Port. Logisch, dass dann bei einer Verbindung übers Internet die Routerfirewall diesen neuen Port blockt.

02.01.2007, 12:38

Member

Beiträge: 5291

#8 Dann ist deine Routerfirewall nicht richtig konfiguriert ist doch logisch - wenn das nicht geht taugt sie halt nichts dann raus aus dem Fenster damit und hol dir was vernünftiges

__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

02.01.2007, 13:27

Member

Beiträge: 647

Zitat

rherder postete
Unmittelbar vor der Übertragung der Daten schaltet der Client auf einen Port >50000 (der ist aber bei jedem Connect wieder anders). Danach läuft die Kommunikation über diesen Server-Port. Logisch, dass dann bei einer Verbindung übers Internet die Routerfirewall diesen neuen Port blockt.

Du verwechselst da was - der Clientport >50000 ist KEIN Serverport, der Serverport ist immer gleich. Dein Client greift sich einfach irgendeinen freien Port und öffnet eine ausgehende Verbindung zum offenen FTP-Serverport - es ist für deinen Router vollkommen uninteressant was der Quell-port (bei dir >50000) der eingehenden Anfrage ist, der Router richtet sich nach dem Ziel-Port und leitet den weiter wenn es dafür eine Regel gibt.
Darum habe ich ja auch gefragt ob der Serverport wirklich die 21 ist, und das du mal die FSG scannen sollst wenn du das nicht genau weisst. Und, hast du nun versucht über die öffentliche IP zuzugreifen (von aussen) oder über die private?
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

02.01.2007, 14:05

Member

Themenstarter

Beiträge: 686

#10 @heptamer666
Ich verwechsele garnichts. Nach dem Handshake geht der Server auf einen neuen Port. Der Port >50000 ist DOCH ein Serverport.
1. Willst du das Log vom Sniffer sehen?
2. Einfacher ist es, wenn du auf meinen Link weiter oben gehst, der mit uni-oldenburg. Da kriegste es animiert gezeigt.

02.01.2007, 14:30

Member

Beiträge: 5291

#11 Ehm um euch beide kurz zu unterbrechen

Also wenn man von außen zugreift dann muss man eine passive Portrange forwarden entweder alle highports! 1024-65535 oder eine spezielle Range wie zb. 6000-7000 dafür muss der FTP Server aber konfigurierbar sein.

So funktionierts und die Ports sind immer unterschiedlich die für die Datenverbindung geöffnet werden, bei passive FTP öffnet der client beides.

@rherder
Ist evntl. mit deinem Router ja nicht Möglich (siehe oben) -
du kannst ja mal alle highports forwarden nur so zum Test.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

02.01.2007, 14:47

Member

Beiträge: 647

#12 @rherder: Ich habe mir dein Beispiel nun noch mal genau angeschaut: Du verwendest wohl passives FTP, ich bin warum auch immer von aktivem FTP ausgegangen.
Bei deiner FSG solltest du, wenn möglich, den FTP-Server so konfigurieren das nur eine bestimmte port-range erlaubt ist, um diese passiven ftp-verbindungen freizugeben. Diese port-range forwardest du dann über deinen Router zu der FSG und Zugriff ist möglich. Das ist der übliche Weg um passives FTP durch eine Firewall zu routen/forwarden.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

02.01.2007, 19:02

Member

Themenstarter

Beiträge: 686

#13

Zitat

heptamer666 postete
Bei deiner FSG solltest du, wenn möglich, den FTP-Server so konfigurieren das nur eine bestimmte port-range erlaubt ist, um diese passiven ftp-verbindungen freizugeben. Diese port-range forwardest du dann über deinen Router zu der FSG und Zugriff ist möglich. Das ist der übliche Weg um passives FTP durch eine Firewall zu routen/forwarden.

Beim FSG brauch ich nichts zu konfigurieren, denn erstens wird der ja wohl selber wissen, welche der Ports, die er selber geschaffen hat, auch offen halten muss. Außerdem funktioniert FTP im LAN ja.
Aber der Knackpunkt ist wohl der Router; die Konfig ist nämlich so einfach nicht, denn er will keine 10000 Ports durchlassen, er meint, das wären wohl zu viele auf einmal.
Werde jetzt mal erst an meinen anderen Fäden ziehen. Bis später mal.

02.01.2007, 19:54

Member

Beiträge: 5291

#14

Zitat

Beim FSG brauch ich nichts zu konfigurieren, denn erstens wird der ja wohl selber wissen, welche der Ports, die er selber geschaffen hat, auch offen halten muss. Außerdem funktioniert FTP im LAN ja.

Nö woher soll er wissen welche Ports er als passive range nutzen soll - bei default nutzen FTP Server die kompletten highports!

Zitat

Aber der Knackpunkt ist wohl der Router; die Konfig ist nämlich so einfach nicht, denn er will keine 10000 Ports durchlassen, er meint, das wären wohl zu viele auf einmal.
Werde jetzt mal erst an meinen anderen Fäden ziehen. Bis später mal.

Ist ja auch eigentlich ne große Sicherheitslücke find ich

Der router denkt sich das auch aber das ist nu mal der haken an so standard routern da geht nicht alles.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

02.01.2007, 22:18