Firewall-Einstellungen für FTP

sd12

sd12

Legendäres Mitglied
Hab so meine Probleme mit der Firewall; sobald ich Sie einschalte kann ich nicht mehr per FTP uploaden...

DAs sind meine Rules:
QUOTE tcp Alle 21 Allow aktiv
tcp Alle 22 Allow aktiv
tcp Alle 25 Allow aktiv
tcp Alle 80 Allow aktiv
tcp Alle 110 Allow aktiv
tcp Alle 143 Allow aktiv
tcp Alle 443 Allow aktiv
tcp Alle 465 Allow aktiv
tcp Alle 993 Allow aktiv
tcp Alle 995 Allow aktiv
tcp Alle 8443 Allow aktiv
udp 53 Alle Allow aktiv
udp 123 Alle Allow aktiv
icmp -/- -/- Allow aktiv
tcp 25 Alle Allow aktiv
tcp 5224 Alle Allow aktiv


Was ist falsch?
 
QUOTE (Benedikt @ Mo 16.1.2006, 1:05)[...] Was ist falsch?

Nun, <ironie>FTP ist etwas feines in Bezug auf Sicherheit</ironie>. Es gibt ein richtig schönes Problem mit FTP (insbesondere beim passiven FTP), dazu muss man aber die Funktionsweise von FTP etwas verstehen:


Aktives FTP
Der Server öffnet eine Verbindung von Port 20 auf seiner Seite, zu einen hohen Port [1] des Clients, welcher zuvor über eine Kontrollverbindung (Port 21) festgelegt wurde.

Passives FTP
Hierbei wird die Datenverbindung vom Client aus initiiert. Server und Client benutzen hierbei beide hohe Port [1]. Der vom Server benutzte Port wird dem Client im Vorfeld über die Kontrollverbindung mitgeteilt.


Bei aktiven FTP reicht es also aus, wenn Port 20 auf dem Server freigegeben wird. Passives FTP möchte man deshalb eher vermeiden bei einen Server...


Hier mal kurz die Regeln für eine Firewall basierend auf iptables:


CODE # FTP Kontrollverbindung
iptables -A INPUT -p tcp --dport 1024:65535 --sport 21 ! --syn -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT

# aktives FTP
iptables -A INPUT -p tcp --dport 1024:65535 --sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 20 ! --syn -j ACCEPT

# passives FTP
iptables -A INPUT -p tcp --dport 1024:65535 --sport 1024:65535 ! --syn -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT




MfG Sascha Ahlers

[1] Dieser Port wird zufällig ermittelt...
 
Was bedeutet diese Regel?

icmp -/- -/- Allow aktiv

heisst das nun, dass du alle icmp packete blockst oder alle durchlässt? Beides wäre in meinen Augen ein Fehler...

Lexus
 
QUOTE (Lexus @ Mo 16.1.2006, 15:06) Was bedeutet diese Regel?

icmp -/- -/- Allow aktiv

heisst das nun, dass du alle icmp packete blockst oder alle durchlässt? Beides wäre in meinen Augen ein Fehler...

Lexus

Ich lasse alle durch...

Warum ein Fehler?

@sascha
danke das mit Port 20 hat funktioniert...
 
Jetzt weiss ich, dass meine Firewall schlecht konfiguriert ist, hasst du mir aber auch noch den Tipp, wie ich das Problem behebe?
 
Ich verwende iptables und apf auf meinem Server und bei APF wird standardmässig folgendes konfiguriert:

IG_ICMP_TYPES="3,5,11,0,30,8"

Dies sind die ICMP Typen die erlaubt sind.

Was für eine Firewall verwendest du?

cu
Lexus
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben