FTP und die Ports



  • Hi!

    Ich habe den Port 21 auf den FTP-Server weitergeleitet.

    Mit dem Client schaffe ich ein erfolgreiches login, jedoch wird dann die Verbindung abgebrochen.

    Auf der PfSense wird abgebildet, dass das Ziel u.A. mit dem Port 471212 abgelehnt wird.

    Auf https://www.giga.de/downloads/internet/ftp/ftp-port-passives-und-aktives-ftp-so-klappts/
    gelsen, dass der Client einen Port zwischen 1024 und 65535 verwendet.

    Was muss ich in der PfS konfigurieren, damit diese Kommunikation stattfindet? Ich kann nicht alle
    Ports freigeben, weil u.A. 80,110, 25 in Verwendung sind.

    greets



  • Vergiss FTP und nutze SFTP.


  • Moderator

    @Grimson: Im Prinzip ja richtig, aber nicht zielführend wenn man nunmal einen FTP vorgesetzt bekommt der erreicht werden muss. Und nein, man kann es oft eben nicht mal eben ändern/umstellen.

    @sax
    Es wäre hilfreich erstmal zu schreiben WAS du eigentlich machst/machen willst. Das liest sich, als wenn du von außen via NAT auf einen FTP in deinem LAN zugreifen willst. Bitte näher beschreiben, dann kann man dir dazu auch besser helfen. Wenn die Annahme aber richtig ist, wäre das richtige Vorgehen:

    • Client muss passives FTP nutzen
    • Server sollte einen passiven FTP Range konfiguriert bekommen! Ganz wichtig!
    • Port 21/tcp und den passiven Portrange des Servers eingehend erlauben
    • testen

    Damit sollte passive mode FTP von extern auf einen internen Server problemlos drin sein. Für aktives FTP muss der FTP Server abgehend Port 20/tcp ins Internet sprechen dürfen - das wird aber den meisten Clients nichts bringen die hinter Firewalls stehen (außer sie nutzen bspw. einen FTP Proxy)

    Gruß



  • @JeGr

    danke für die Info - deine Annahme ist korrekt. Ich werde es mal so einrichten und berichten.

    vor PfS hatte ich IPFire, bei diesem war keine derartige Konfiguration des FTP-Servers im LAN von nöten.
    Die erforderlichen Ports wurden automatisch freigegeben. Ich hatte daher vermutet, es liegt an
    einer Option der PfS, der aktiviert/deaktiviert werden kann

    greets


  • Moderator

    Die erforderlichen Ports wurden automatisch freigegeben.

    Sowas ist nur möglich, wenn die Verbindung unterbrochen/abgefangen wird und sich ein Proxy einschaltet - und normalerweise auch nur bei aktivem FTP. Gab es in alten pfSense Versionen noch (FTP Helper), inzwischen aber nur noch als Helper in den Advanced Options. Sicherer ist die konkrete Freigabe und mittelfristig der Weg FTP ganz loszuwerden.



  • Hallo,

    ich habe auch einen ftp hinter der pfSense mit NAT Portweiterleitung. Die Lösung ist der FTP Server!
    Dort kannst du bei fast allen Servern einstellen das er die "Hight Ports" für den Datentraffic nur in einer Range öffnen soll. Z.B. 10200 bis 10250 für 50 Sitzungen.
    Dann kannst du auf der pfSense die Ports 21 als auch die Ports 10200 bis 10250 an den FTP Server weiterleiten.

    Dann sollte es klappen. Alleine auf der Firewall wirst du das Problem nicht erschlagen können.

    Auch wenn es hier gesagt wurde. FTP durch das Internet…. nicht gut. Entweder FTPs (Ftp mit SSL) oder SFTP nutzen. Oder einfach einen Site-2-Site VPN Tunnel erstellen und dadurch das FTP transportieren. (Hier kannst du dann auch gleich das NAT Problem erschlagen). Geht natürlich nur bei "definierten" externen Partner. Für einen public FTP funktioniert das nicht.

    Gruß Blex


  • Moderator

    @blex: was genau das ist, was ich oben bereits beschrieben hatte mit "Server muss einen festen passiven FTP Portrange festgeschrieben bekommen".