Intern zu DMZ Port 12365 funktioniert nicht



  • Hi,
    Ich würde gerne von meinem internen Netz in das DMZ.
    Mit Port 3389 (RDP) komme ich auf meinen Server.
    Das DMZ hat das Netzwerk 53.54.216.0/24
    Das interne Netzwerk hat 192.168.0.0/24

    Auf dem Server läuft ein FTP-Server (vom IIS) auf Port 12365.
    Ich komme auf den Server mit Filezilla drauf, wenn das Teil im internen Netz steht. Jetzt in der DMZ geht das nicht.
    Die Filezillaeinstellungen die im internen Netz funktionieren sind:
      Verbindungsart: normal
      Benutzer:xxxx
      Passwort: yyyy
      Protokoll: FTP - File Transfer Protocol
      Verschlüsselung: Explizites FTP über TLS erfordern
      Übertragungseinstellung: Standard (Aktiv /Passiv ist nicht angewählt)!!

    Ich hoffe es kann mir jemand einen Tip geben ….

    Grüße

    Heinz












  • Hmm, zwei Dinge fallen mir da auf:
    Du hast tatsächlich den IP-Bereich 53.54.216.0? Der gehört eigentlich zu Daimler :)

    Damit Du vom internen Lan auf die DMZ kommst, brauchst Du eigentlich kein NAT. Das müsste mit normalen Firewallregeln zu lösen sein. Funktioniert es evtl. wenn das NAT deaktiviert ist?



  • also nur um sicherzugehen das ich es richtig verstanden habe

    du kannst von einem Rechner aus dem Netz Intern den Server über port 3389 erreichen aber über Port 12365 nicht?

    Was für mich keinen Sinn macht den die Regeln die Du auf dem Interface gesetzt hast sehen gleich aus.

    Geht der Ping?

    Bekommst Du eine Antwort mit telnet auf den ftp Server port 12365?

    Der Port Forward auf dem DMZ interface sieht für mich auch komisch aus. Ich meine eigentlich den brauchst du nicht.



  • @Birke:

    Hmm, zwei Dinge fallen mir da auf:
    Du hast tatsächlich den IP-Bereich 53.54.216.0? Der gehört eigentlich zu Daimler :)

    Wir entwickeln was für Daimler und ich möchte die gleiche Umgebung inkl. IP-Adressen.

    Damit Du vom internen Lan auf die DMZ kommst, brauchst Du eigentlich kein NAT. Das müsste mit normalen Firewallregeln zu lösen sein. Funktioniert es evtl. wenn das NAT deaktiviert ist?

    Das NAT ist schon weg. War eher eine Verzweiflungstat, weil ich nicht verstanden habe, warum es nicht funktioniert. Ping geht.



  • @hbauer:

    also nur um sicherzugehen das ich es richtig verstanden habe

    du kannst von einem Rechner aus dem Netz Intern den Server über port 3389 erreichen aber über Port 12365 nicht?

    ja, genau.

    Was für mich keinen Sinn macht den die Regeln die Du auf dem Interface gesetzt hast sehen gleich aus.

    Ja. Ich weiss auch nicht warum.

    Geht der Ping?

    Ja.
    Bekommst Du eine Antwort mit telnet auf den ftp Server port 12365?

    Der Port Forward auf dem DMZ interface sieht für mich auch komisch aus. Ich meine eigentlich den brauchst du nicht.



  • Fehler entdeckt.
    Der IIS-FTP Service war auf die alte IP fest gebunden. Nachdem ich das geändert hatte konnte ich mich einloggen.

    Jetzt ist der eingeloggt, aber es kommt kein Verzeichnisinhalt.

    Hat das mit der Firewall / aktiv oder passives FTP zu tun und den Ports nach dem Verbindungsaufbau auf den dynamischen Ports?

    Grüße

    Heinz


  • LAYER 8 Moderator

    Hat das mit der Firewall / aktiv oder passives FTP zu tun und den Ports nach dem Verbindungsaufbau auf den dynamischen Ports?

    Wenn kein Verzeichnisinhalt kommt, ist meist aktiv/passiv das Problem. Bei Aktiv würde der Server zu der 10er IP zurück eine Verbindung aufbauen müssen. Darf er das? Gibts dafür Regeln etc.? Ansonsten muss es via passivem FTP ablaufen, damit alle Verbindungen vom LAN kommen.

    Gruß



  • Wie müsste denn die Regel aussehen für das aktive FTP?



  • LAYER 8 Moderator

    Überhaupt nicht auf dem INTERNEN sondern auf dem DMZ Netz wo der Server steht. Der Server baut dann von sich aus eine Verbindung auf zum Client. Das ist der Grund, warum einerseits jeder Jubelsprünge macht, der FTP los wird, und warum aktives FTP so verhasst war, denn bei NATting kann niemand ordentlich mit FTP (aktiv) arbeiten, da geht nur passiv.

    Aktives FTP benötigt:

    LAN: Client -> Server / port >1024 auf tcp/21
    DMZ: Server -> Client tcp/20 auf >1024.

    Da müssen so viele Ports aufgerissen werden, dass es da allen vor gruselt. Darum der Grund, warum man passives FTP nutzt bzw. den Kram komplett vermeidet wenns geht und SFTP nutzt :)

    Warum steht denn überhaupt eine Regel mit Source "Server", der laut deiner Aussage in der DMZ steht, auf dem INTERN Netz? Die macht da gar keinen Sinn. Und das Gateway Telekom würde ich vermuten auch nicht? Oder sind das beides Kisten die im LAN/INTERN Netz stehen?

    PS: Ich würde auf dem Server lieber ordentlich Port 21 für FTP wieder konfigurieren und eine passive Port Range konfigurieren die so ~500 Ports umfasst und diese dann von intern in die DMZ freigeben. Dann als Methode passive FTP und gut. Oder gleich was anderes als FTP nutzen. :)

    Gruß



  • @JeGr:

    Aktives FTP benötigt:
    LAN: Client -> Server / port >1024 auf tcp/21

    Reicht dann 1025 –> 5000 ??

    DMZ: Server -> Client tcp/20 auf >1024.

    Reicht dann auch hier 1025 –> 5000 ??

    Da müssen so viele Ports aufgerissen werden, dass es da allen vor gruselt. Darum der Grund, warum man passives FTP nutzt bzw. den Kram komplett vermeidet wenns geht und SFTP nutzt :)

    Diese Überzeugungsarbeit mute ich mir bei einem großen schwäbischen Autohersteller nicht zu.

    Warum steht denn überhaupt eine Regel mit Source "Server", der laut deiner Aussage in der DMZ steht, auf dem INTERN Netz? Die macht da gar keinen Sinn.

    Server01 soll nicht in das Internet in der Zeit von 8:00 - … Uhr (ist nur ein Linux-Fileserver)
    Der Testserver ist in der DMZ, sogar mehrere.

    Und das Gateway Telekom würde ich vermuten auch nicht? Oder sind das beides Kisten die im LAN/INTERN Netz stehen?

    Das Gateway Telekom ist ein DSL-Modem der Telekom

    PS: Ich würde auf dem Server lieber ordentlich Port 21 für FTP wieder konfigurieren und eine passive Port Range konfigurieren die so ~500 Ports umfasst und diese dann von intern in die DMZ freigeben. Dann als Methode passive FTP und gut. Oder gleich was anderes als FTP nutzen. :)

    Diese Überzeugungsarbeit mute ich mir bei einem großen schwäbischen Autohersteller nicht zu.

    Aber schon mal vielen Dank für die ausführliche Beschreibung.


  • LAYER 8 Moderator

    Hallo Heinz,

    Reicht dann 1025 –> 5000 ??

    Warum denn 5000? Und warum 1025? Mit >1024 sind ALLE Ports ab 1024 gemeint. Also 1024-65535.
    FTP Läuft auf Control Port 21 und Data Port 20. Du hast anscheinend mit einem umkonfigurierten Control Port (auf 12365) zu tun? Ist der Data Port dann auch umkonfiguriert worden? (und warum überhaupt)

    Server01 soll nicht in das Internet in der Zeit von 8:00 - ... Uhr (ist nur ein Linux-Fileserver)

    Ah und Server01 steht im internen Netz? Deshalb meine Verwirrung :)

    Das Gateway Telekom ist ein DSL-Modem der Telekom

    Aber steht das im internen Netz? Ansonsten wäre das als Source an der Stelle völlig unklar?

    Diese Überzeugungsarbeit mute ich mir bei einem großen schwäbischen Autohersteller nicht zu.

    Gut, das kann ich mir vorstellen, allerdings müssen auch die Jungs da ordentliche Richtlinien haben ;) Aber wer weß :D

    Gern und Gruß


Log in to reply