Tach Zusammen

Versuche seit einer Weile schon die Ports auf die Reihe zu kriegen.
Bis auf den FTP habe ich von Externen zugriff auf den Server.
Mit FTP komme ich nicht mehr auf den Server.
Habe in einer Docku gelesen das beim Client die Port 20 und 21 offen sein müssen und beim Server 5150 und 5151. Ist das so Korreckt oder ist das GAGA oder fehlt noch was?

Stelle ich die Konfiguration auf alle Ports zulassen, klappt alles wunder bar.

Grunz RaumgleiterB57

Das kommt drauf an ob dein FTP im PAssiven Modus ist!
Da beim Client meist "Inside to Outside any Open" ist, spielt der Client keine Rolle.
Was für ein FTP verwendest du denn?
Achte mal darauch ob dein FTP im Passive Mode läuft, dann musst du nähmlich die Ports anpassen, sonst sind es Traditionel Port 21 und 20!

verwende den IIS 5 FTP Server
Woran erkenne ich den Modus?
Erkenn nur so viel, dass er ausgeführt wird.

Es tönt so als hattest du bereits einmal Zugriff auf den FTP gehabt. Wenn ja was hast du zwischenzeitlich geändert?

Normalerweise wird der FTP auf Port 21 angfragt (Standardkonfig). Da du aber keine Verbindung auf den Server bekommst, gehe ich davon aus, das der Server nicht erreichbar ist.

Dies kann verschiedene Ursachen haben. Erstmal einen Ping auf die Domäne und die IP Adresse checken. Wenn das klappt solltest du die Dienst auf dem Server kontrollieren. Wenn dazwischen eine Firewall sitzt (oder 2) dann müsstest du checken ob sie deine Anfrage durchlassen.
Ein Proxyserver dazwischen könnte dir ebenfalls einen Streich spielen.

Cello

Cello

meiner meinung nach sollte alles über der 21er laufen

ciao

Nicht ganz, die Anfrage geht zwar via Port 21, aber die Antwort kann an und für sich auf allen Ports laufen. Dieser Port wird zwischen dem FTP-Server und dem Client ausghandelt.
So wie IT-Bear richtig bemerkt, kommt z.B beim PASV-Modus (ADSL-Verbindungen) Port um 51xx zur Anwendung.
Welchen Port eure Verbindung gerade nutzt kannst du dem FTP-Log entnehmen.

Cello

Zu beginn meiner wwwServerkariere hatte ich in der TCP/IP Filterung die Option Alle Zulassen gewählt. Während dieser Zeit konne der Server benutzt werden SMTP, FTP und WWW. Da so die Sicherheit ja sehr schlecht ist, wurde eine 3Com Feuerwad gekauft. Die ja als DAU eher schwer zu verstehen ist, kam ich auf die Idee das Ganze mal mit dem TCP/IP Filter durch zu spielen. Nun gut, WWW und SMTP ist OK beim FTP steht es an. Wenn ich dan die Konfiguration des TCP/IP Filter wieder auf Alle Zulassen stelle, klappt es auch wieder mit dem FTP. Da stellt sich mir die Frage welche/r Port fehlt mir??

Welche Port's würdet ihr mir empfehlen auf dem Server
Habe folgende Port's offen: 21,25,53,80,110,119, nach einer Doku zu FTP habe ich noch 5150 + 5151 aufgemacht!

Brauche ich noch UDP

Probier doch mal auf deinem Server einen onlie Portscan dan siest mal ob du die Ports richtig geoffnet hast.
zb.
http://www.khine.de/

gruss Koni

Ich denke, hier besteht auch noch ein ziemlicher Aufklärungbedarf!

Wo habt ihr denn alle Eure Ausbildung gemacht?

Aktives und passives FTP:
Der grosse Unterschied zwischen aktivem und passiven FTP ist die Verteilung der offenen Ports.
Das Problem beim aktiven FTP ist, dass nicht nur der Server Ports offen haben muss, sondern auch der Benutzer. Und erklär mal einem DAU zuhause, wie er bei seinem NAT-Router die Ports öffnen soll!

Beim passiven FTP benötigt der User keine offenen Ports, dafür hat der Server ein paar mehr offen!

Die einmalige Konfiguration des Servers inkl. dessen Firewall ist im normalen Leben einiges einfacher als jedem User zu erklären, welche Ports er wo öffnen muss und somit wird in den meisten Fällen passives FTP verwendet.
Die meisten (alle?) Clients lassen passive FTP zu und haben das oft auch als default gesetzt.


Nun aber ein paar Zahlen:
Bei passivem FTP müssen auf der serverseitigen Firewall Port 21 und alle >1024 offen sein.
Damit nicht gleich alle Ports oberhalb 1024 offen sind (==Risiko), lassen die meisten Ftp-Server die Portrange einschränken.
Dabei gilt jedoch allgemein: Für jeden offenen Port != 21, der offen ist, kann eine einzige Verbindung offen sein.
Wenn ich also ausser 21 noch weitere zehn Ports offen habe, können max. zehn User gleichzeitig connecten.

Beim aktiven FTP müssen auf dem Server nur die Port 20 und 21 offen sein. Auf der Userseite hingegen alle >1024. Das ist natürlich ein Risiko für den User!

Also, verwendet wenn immer möglich passives FTP: Ihr macht damit euer Leben leichter!

Ich hoffe, was ich geschrieben habe, ist für euch interessant und nicht zu kompliziert. Anregungen und Korrekturen nehme ich natürlich gerne entgegen, bin in Sachen FTP nicht sehr erfahren und hab die das Vorgehen mal so aufgeschrieben, wie ich es noch irgendwie zusammengebracht habe!

bis bald
Kermit

edit:
Sehr gute Seite, die das ganze sogar mit Grafiken beschreibt:
http://slacksite.com/other/ftp.html

Wenn schon eine Firewall eingesetzt wird, dann richtig. Ansonsten würde ich die Zeit sinnvoller investieren, z.B. in das Hardening von Servern und Clients. Alle Ports über 1024 ist Unsinn. Wozu brauchst Du denn noch eine Firewall ? BackOrifice und all die anderen netten Tools brauchen High Ports und freuen sich über solche konfigurierten Firewalls - die eigentlich keine sind.

Ausgehend:
Ausgehend sollten jeweils nur genau diejenigen Ports sein, welche auch benötigt werden. Obwohl es viele nicht wahrhaben oder glauben, bringt das öffnen aller Ports nach aussen (Outbound) ein massives Sicherheitsrisiko mit sich, welchem sich Hacker oder auch Programme (Trojaner usw.) bedienen können. Wenn erst mal ein Hacker die Kontrolle bzw. Teilkontrolle über ein Gerät innerhalb eines Netzwerks besitzt, kann er dadurch sämtliche ausgehende Kommunikation starten, Informationen "nach Hause" senden oder eben hässliche Tools in das interne Netzwerk laden. Deshalb: Nur Ports öffnen die tatsächlich benötigt werden. Zudem sollten ausgehende Ports nur authentifizierten Benutzern zur Verfügung gestellt werden und nicht allen internen Geräten. Das gibt zusätzliche Sicherheit.

Eingehend:
Bei FTP ist das Problem dass nach der Initiierung der Verbindung (Port 21) über den PORT-Befehl ein High Port bestimmt wird über welchen die spätere Kommunikation läuft (bei aktiven FTP). Firewalls müssen diesen Port natürlich offen haben, damit interne Clients Antworten von den FTP-Servern erhalten können. Dazu benötigt die Firewall vorzugsweise einen Anwendungsfilter der FTP-Verkehr verfolgen kann und Ports pro Verbindung dynamisch öffnen und nach Beendigung von Verbindungen wieder schliessen kann.

@Raumgleiter
Das passive Modus lässt sich im FTP-Client erzwingen. Wenn z.B. IE eingesetzt wird, kann über die Erweiterten Internetoptionen der PASV-Mode konfiguriert werden.

Gruss Marcel

Hi Marcel
Auf welchen Ports lässt du denn FTP laufen?

bis bald
Kermit

PS: Ansonsten kann ich deinem Posting nur zustimmen!