Zugriff auf fremden FTP



  • Hallo zusammen,

    für einen Kunden muss ich noch eine Homepage pflegen, die mit DataBecker WebtoDate 5 erstellt wurde.

    Jetzt ist hier die PFSense aktiv und ich habe keinen Zugriff mehr auf den FTP des Kunden, dort wo die Homepage liegt.

    Ich habe es getestet mit einer Datensicherung an einem anderen PC ohne PFSense und es funktioniert einwandfrei.

    Welche Einstellungen muss ich vornehmen, dass der Zugriff (Übertragung + Abruf) auf dem FTP funktioniert und wir die Homepage aktualisieren können.

    Beigefügt die Fotos der aktuellen Situation.

    Vielen Dank für Eure Hilfe.

    ![PFSense - WAN1.jpg](/public/imported_attachments/1/PFSense - WAN1.jpg)
    ![PFSense - WAN1.jpg_thumb](/public/imported_attachments/1/PFSense - WAN1.jpg_thumb)
    ![PFSense - WAN2.jpg](/public/imported_attachments/1/PFSense - WAN2.jpg)
    ![PFSense - WAN2.jpg_thumb](/public/imported_attachments/1/PFSense - WAN2.jpg_thumb)
    ![PFSense - LAN.jpg](/public/imported_attachments/1/PFSense - LAN.jpg)
    ![PFSense - LAN.jpg_thumb](/public/imported_attachments/1/PFSense - LAN.jpg_thumb)
    ![PFSense - NAT.jpg](/public/imported_attachments/1/PFSense - NAT.jpg)
    ![PFSense - NAT.jpg_thumb](/public/imported_attachments/1/PFSense - NAT.jpg_thumb)



  • Seit ein paar Tagen gibt es für pfSense 2.2 ein package, mit dem Ftp funktioniert:

    https://forum.pfsense.org/index.php?topic=89841.msg497299#msg497299

    Ich hab's ausprobiert, zumindest anonymes ftp geht.

    Für alles andere ist ftp aber auch nicht seriös geeignet! Mit ftp werden Zugangsdaten im Klartext übertragen. Ich würde Dir dringend empfehlen mit dem Kunden nach eine anderen Lösung zu suchen oder zumindest auf die Sicherheitsprobleme mit ftp nachweisbar hinweisen. Du bekommst als Berater sonst ein u.U. böses Problem.

    -flo-



  • Ich bin grade etwas irritiert?

    Ich nutze FTP abgehend und auch ankommend hinter einer PF-Sense … 2.2(64bit)

    Natürlich muss man nicht nur Port 21 frei geben, sondern auch einen Bereich für passives FTP. Filezilla (auf Windows Rechnern) ist ein nützlicher kleiner FTP-Server und kann auch sicher konfiguriert werden.
    implicite FTP over TLS braucht dann noch Port 990. Dann kann man ungesichertes FTP auch verbieten, festlegen, dass auch die Nutzdaten verschlüsselt werden MÜSSEN und hat keine unverschlüsselten Passwörter/Daten mehr auf dem Weg.

    Abgehend ist es ebenfalls nötig Port 21 UND den üblicherweise verwendeten passiven FTP-Range freizugeben. Wenn man das nicht will braucht man einen Proxy für FTP, der dann Active-Mode unterstützen kann.

    Ich persönlich halte nicht viel von zu stark eingeschränkten ausgehenden Verbindungen. Schadsoftware nutzt sehr oft eh die üblichen Ports(oder sucht sich einen Port der offen ist) , die man sowieso frei geben muss. Einer starken Einschränkung im Betrieb steht dann ein nur sehr geringer Gewinn an Sicherheit gegenüber.

    gruß



  • Super. Alle anderen FTP-Regeln raus und das von flo unter Nr. 2 erwähnte Package installiert und alles funktioniert bestens. Genial. Auch mit Multiwan und Loadbalancing (2x VDSL 50 feste IP) kein Problem.



  • Schön wenn es den Zweck erfüllt … Aber wenn FTP jetzt abgehend geht OHNE eine Regel in der FW .. dann würde mich das doch interessieren wie das geht?!
    FTP braucht mindestens zwei abgehende Ports, bei Active einen abgehend und einen ankommend...

    Denn wenn ich in der Firewall etwas NICHT erlaube, dann sollte es NICHT gehen!



  • Wenn ich das richtig verstanden habe, dann richtet das Package die erforderlichen Firewall-Freischaltungen ein. Das sieht man etwa daran, daß es eine Option dafür gibt, daß diese Regeln mit oder ohne logging angelegt werden.

    Ich finde das Package sehr praktisch, aber natürlich hat man dann nicht mehr ganz direkt die Finger drauf …

    -flo-


  • LAYER 8 Moderator

    dann würde mich das doch interessieren wie das geht?!

    Ähnlich wie auch uPnP funktioniert ohne eine explizite Regel: Indem der Proxy Daemon per Hooks in den Filterregeln der Firewall die notwendigen Freischaltungen bei Bedarf automatisch ein- und wieder austrägt.

    Bei passivem FTP von intern nach extern sind bei einer Default pfSense auch meines wissens KEINE Regel notwendig (da hier die LAN->WAN any allow rule noch drin ist und passives FTP NUR abgehende Regeln benötigt. Ein Port 21 ist ein Serverport eingehend, den braucht man auf der Clientseite eher selten, es sei denn man verfolgt ein sehr striktes abgehendes Regelset auf LAN Seite, was meist viel Ärger von Usern und Chefs produziert…).

    Aktives FTP hat noch ganz andere Probleme. Mit explizitem oder implizitem FTP/S (nicht verwechseln mit SFTP) ist auch sichere Übertragung möglich, allerdings muss man schon sagen, dass FTP an sich (das Protokoll) eine echte Krankheit ist und man das lieber sehr weit weg werfen möchte anstatt sich damit herumzuschlagen. Aber leider ist das nicht immer allen Kunden klar zu machen.

    Grüße



  • Ich nehme an, das einige die LAN->WAN allow(any) Regel entfernen und dann nur Portweise irgendwas ausgehendes erlauben…
    So wie ich das sehe, ist das aber kaum eine Verbesserung der Sicherheit, da übliche Schadsoftware sehr flexibel ist und sich meißtens erfolgreich einen Weg sucht, auch wenn es für den User schon sehr lästig sein kann die normale Arbeit zu erledigen.

    gruß


  • LAYER 8 Moderator

    Ich nehme an, das einige die LAN->WAN allow(any) Regel entfernen und dann nur Portweise irgendwas ausgehendes erlauben…

    Mache ich auf unserer großen DC Firewall auch. Natürlich. Aber das hat eben zur Folge, dass ich den Kunden erklären muss, warum von ihrem Server XY nicht einfach mal eben so geht. Sobald man das erklärt ist das auch selten ein Problem.
    In Unternehmen ist das aber oft schwierig, denn wenn Chef A seine Lieblingsseite B nicht mehr aufmachen kann, gibts schnell mal Streß ;)


Log in to reply