Discussion:
FTPS über ISA veröffentlichen
(zu alt für eine Antwort)
Nils Wöhler
2010-03-03 15:21:27 UTC
Permalink
Hallo zusammen,

ich habe folgendes Problem:

Ich möchte gern einen FTPS-Server über den ISA2006 veröffentlichen. Die
Anleitung von Bernd Schulze habe ich bereits gelesen.

Ich erstelle also eine neue Non-Webserver-Publishing-Rule, in der ich
das Protokoll definiere, die interne IP-Adresse des FTPS-Servers
auswähle und den Listener bestimme.

Von intern funktioniert der Aufruf des FTPS-Server ohne Probleme. Von
extern bekomme ich einfach nur einen Timeout zurück. Der ISA-Server
loggt scheinbar auch nur, dass er die Anfragen ablehnt, allerdings nutzt
er nicht einmal die Regel, die ich für die Veröffentlichung erstellt
habe, selbst wenn ich die Regel irgendwo anders im Regelwerk positioniere.

Jemand eine Idee? Habe in meiner Serververöffentlichung im Protokoll die
Ports 21, 990, 12340-12349 (alle TCP/incomming) definiert.

Egal, ob ich über 21 oder 990 connecten möchte, nichts funktioniert.

Vielen Dank schonmal!
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.

Zitat von Thomas Koehler in de.alt.sysadmin.recovery:
"Mein Gott, selbst ein Huhn kann Debian installieren, wenn du genug Koerner
auf die Enter-Taste legst."
Jens Baier
2010-03-03 15:26:42 UTC
Permalink
Hi,
Post by Nils Wöhler
Von intern funktioniert der Aufruf des FTPS-Server ohne Probleme. Von
extern bekomme ich einfach nur einen Timeout zurück. Der ISA-Server loggt
scheinbar auch nur, dass er die Anfragen ablehnt, allerdings nutzt er
nicht einmal die Regel, die ich für die Veröffentlichung erstellt habe,
selbst wenn ich die Regel irgendwo anders im Regelwerk positioniere.
dann matcht die Regel noch nicht. Pruef bitte nochmal Deine Konfiguration,
da ISA das Regelwerk nach First Match abarbeitet und dann zur Default Deny
Rule wechselt.
Oder steht im Logging das keine Regel aufschlaegt, dann hast Du evtl. noch
ein Routing / Netzwerkregelproblem.

Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de
Nils Wöhler
2010-03-03 15:33:09 UTC
Permalink
Hallo Jens,
Post by Jens Baier
dann matcht die Regel noch nicht. Pruef bitte nochmal Deine
Konfiguration, da ISA das Regelwerk nach First Match abarbeitet und dann
zur Default Deny Rule wechselt.
Oder steht im Logging das keine Regel aufschlaegt, dann hast Du evtl.
noch ein Routing / Netzwerkregelproblem.
die Regel Default Rule greift. Das deutet auf ein Routingproblem hin?
Meine ganzen anderen Veröffentlichungen (~20) funktionieren auch ohne
Probleme. Muss man bei FTPS auf irgendetwas bestimmtes achten?

Der ISA droppt doch default erstmal alles und arbeitet dann sein
Regelwerk von unten nach oben ab, richtig?

Habe die Regel wie gesagt auch schon unterschiedlich platziert...
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.

Zitat von Thomas Koehler in de.alt.sysadmin.recovery:
"Mein Gott, selbst ein Huhn kann Debian installieren, wenn du genug Koerner
auf die Enter-Taste legst."
Volker Strähle
2010-03-03 15:54:42 UTC
Permalink
War zwar nicht FTPS sondern FTP, aber gleicher Fehler: hatte vergessen FTP
konfigurieren->nur lesen rausnehmen.

Volker
Nils Wöhler
2010-03-03 16:03:13 UTC
Permalink
Hallo Volker,
Post by Volker Strähle
War zwar nicht FTPS sondern FTP, aber gleicher Fehler: hatte vergessen
FTP konfigurieren->nur lesen rausnehmen.
Volker
Aber das kann doch nur damit zusammenhängen, wenn du das vorgefertigte
FTP-Protokoll nutzt, oder nicht? Ich habe bei mir, mit dem eigens
angelegten Protkoll gar keine Möglichkeit das zu konfigurieren.

Trotz des Hakens konntest du nicht einmal eine Verbindung aufbauen?
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.

Zitat von Thomas Koehler in de.alt.sysadmin.recovery:
"Mein Gott, selbst ein Huhn kann Debian installieren, wenn du genug Koerner
auf die Enter-Taste legst."
Volker Strähle
2010-03-03 16:17:26 UTC
Permalink
Verbindungsaufbau ging, aber die Datei geht nicht über die Leitung und der
ganze Vorgang tauchte dann mit Standregel verweigert im Protokoll auf.

Volker
Jens Baier
2010-03-03 16:39:26 UTC
Permalink
Hi,
Post by Nils Wöhler
die Regel Default Rule greift. Das deutet auf ein Routingproblem hin?
Meine ganzen anderen Veröffentlichungen (~20) funktionieren auch ohne
Probleme. Muss man bei FTPS auf irgendetwas bestimmtes achten?
nein, wenn die Default Rule zieht, ist es kein Routing/Netzwerkproblem.
Kannst du die Rule mal irgendwie posten?
Der zu veroeffentlichende Server ist SecureNAT Client?

Gruss Jens
www.nt-faq.de
www.forefront-tmg.de
www.it-training-grote.de
Nils Wöhler
2010-03-04 07:50:31 UTC
Permalink
Moin!
Post by Jens Baier
nein, wenn die Default Rule zieht, ist es kein Routing/Netzwerkproblem.
Kannst du die Rule mal irgendwie posten?
Der zu veroeffentlichende Server ist SecureNAT Client?
Also, Routing/Netzwerkproblem schließe ich erstmal aus.

Ich versuchs mal, so eindeutig wie möglich, meine Regel zu beschreiben :)

- TAB General -
Name: Internet => fileserver (FTPS)

- TAB Action -
Action to take: Allow
Log requests matching this rule: active

- TAB Traffic -
Protocol: FTPS-Server
Properties: 12340-12349 TCP/inbound, 21 TCP/inbound, 989-990 TCP/inbound
Keine Application Filter, keine Secondary Connections

- TAB From -
Source: External

- TAB To -
Server to publish: 192.168.161.9
Requests appear to come from the original client

- TAB Networks -
External => und dann die IP-Adresse, auf der das veröffentlicht sein soll

- TAB Schedule -
Always



Ich hoffe das hilft schon weiter...
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.

Zitat von Thomas Koehler in de.alt.sysadmin.recovery:
"Mein Gott, selbst ein Huhn kann Debian installieren, wenn du genug Koerner
auf die Enter-Taste legst."
unknown
2010-03-03 17:50:23 UTC
Permalink
moin nils,
Der ISA droppt doch default erstmal alles und arbeitet dann sein Regelwerk
von unten nach oben ab, richtig?
das ist eine frage der perspektive (oder von welchem blickwinkel man auf den
monitor schaut - hihi) - ich würde sagen der isa arbeitet das regelwerk von
oben nach unten ab (reihenfolge der regeln beachten, diese sind
durchnummeriert).
zuerst greifen immer erst die systemregeln, dann das eigens erstellte
firewallregelwerk (in- und outbound). danach als letztes die default-rule
(standardregel), die alles verweigert.

ergänzend zu bernds bericht hier noch der artikel von marc dazu:
http://www.isaserver.org/tutorials/Microsoft-ISA-Server-2006-Secure-FTP-Server-FTPS-publishing-Windows-Server-2008.html
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Nils Wöhler
2010-03-04 07:52:21 UTC
Permalink
Hallo Jens,
Post by unknown
moin nils,
Post by Nils Wöhler
Der ISA droppt doch default erstmal alles und arbeitet dann sein
Regelwerk von unten nach oben ab, richtig?
das ist eine frage der perspektive (oder von welchem blickwinkel man auf
den monitor schaut - hihi) - ich würde sagen der isa arbeitet das
regelwerk von oben nach unten ab (reihenfolge der regeln beachten, diese
sind durchnummeriert).
zuerst greifen immer erst die systemregeln, dann das eigens erstellte
firewallregelwerk (in- und outbound). danach als letztes die
default-rule (standardregel), die alles verweigert.
Ich hätte eher gesagt, erstmal wird alles gedroppt und dann wieder in
der Reihenfolge der ID freigegeben. :|
Post by unknown
http://www.isaserver.org/tutorials/Microsoft-ISA-Server-2006-Secure-FTP-Server-FTPS-publishing-Windows-Server-2008.html
Den Artikel von Marc habe ich mir bereits durchgelesen. Dort arbeitet er
aber mit dem IIS7 - sollte ja eigentlich kein Problem darstellen, da die
Veröffentlichung gleich bleiben sollte.

Ich bin verwirrt, genau so hab ich`s drin!
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.

Zitat von Thomas Koehler in de.alt.sysadmin.recovery:
"Mein Gott, selbst ein Huhn kann Debian installieren, wenn du genug Koerner
auf die Enter-Taste legst."
unknown
2010-03-04 08:11:13 UTC
Permalink
moin nils,
Ich hätte eher gesagt, erstmal wird alles gedroppt und dann wieder in der
Reihenfolge der ID freigegeben. :|
nope. im diagnose-logging sieht man das schön, wie das regelwerk
abgearbeitet wird und das die default-regel immer als letztes greift.

was das ftps-prob angeht kann ich leider nur auf die artikel der kollegen
verweisen, da ich selber (noch) kein ftps-server gepublished habe.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Volker Strähle
2010-03-04 08:36:40 UTC
Permalink
Was passiert eigentlich, wenn zwar Port 21 im Router offen ist, aber die
restlichen Ports nicht? Greift da ggf. die Standardregel?

Volker
Nils Wöhler
2010-03-04 09:26:15 UTC
Permalink
Post by Volker Strähle
Was passiert eigentlich, wenn zwar Port 21 im Router offen ist, aber die
restlichen Ports nicht? Greift da ggf. die Standardregel?
Volker
Dann sollten theoretisch keine passiven Verbindungen möglich sein.
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.

Zitat von Thomas Koehler in de.alt.sysadmin.recovery:
"Mein Gott, selbst ein Huhn kann Debian installieren, wenn du genug Koerner
auf die Enter-Taste legst."
unknown
2010-03-04 09:49:08 UTC
Permalink
huhu,
Post by Nils Wöhler
Dann sollten theoretisch keine passiven Verbindungen möglich sein.
weder passiv noch aktiv sollte möglich sein. du wirst dich mit dem
ftp-server verbinden können, sobald es zu einem datenstransfer kommt ist
schluß mit lustig. die sekundäre verbindung wird zum datentransfer verwendet
und dies nicht nur beim up- und down-load, sondern z.b. schon bei einem
simplen list/dir-befehl.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Nils Wöhler
2010-03-04 09:24:30 UTC
Permalink
So, nun hab ichs :o)
Post by unknown
moin nils,
Post by Nils Wöhler
Ich hätte eher gesagt, erstmal wird alles gedroppt und dann wieder in
der Reihenfolge der ID freigegeben. :|
nope. im diagnose-logging sieht man das schön, wie das regelwerk
abgearbeitet wird und das die default-regel immer als letztes greift.
Na gut! Ich geb mich geschlagen! Habs mir grad angeschaut! Mal schauen
was Marc gleich auf der Cebit zu zeigen hat :) Ich werd gleich mal
losdüsen, hab ja nur ~15km :)
Post by unknown
was das ftps-prob angeht kann ich leider nur auf die artikel der
kollegen verweisen, da ich selber (noch) kein ftps-server gepublished habe.
Ich weiß zwar nicht warum, aber meine Konfiguration war völlig in
Ordnung. Nach einem Neustart des ISA-Servers bzw. der ganzen Maschine
funktionierte die Verbindung auf anhieb. Ich kann mir nur erklären, dass
da irgendeine Verbindung hing. Netzwerktechnisch usw. war auch alles in
Ordnung, hatte das nochmal überprüft.

Naja, schlussendlich ist das Ziel erreicht, einen FTPS-Server zu publishen.
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.

Zitat von Thomas Koehler in de.alt.sysadmin.recovery:
"Mein Gott, selbst ein Huhn kann Debian installieren, wenn du genug Koerner
auf die Enter-Taste legst."
unknown
2010-03-04 09:52:02 UTC
Permalink
moin nils,
Post by Nils Wöhler
Na gut! Ich geb mich geschlagen! Habs mir grad angeschaut!
strike! ;-)
Post by Nils Wöhler
Mal schauen was Marc gleich auf der Cebit zu zeigen hat :)
tonnenweise schöne sachen - allen voran sich selber! hihi.
Post by Nils Wöhler
Ich weiß zwar nicht warum, aber meine Konfiguration war völlig in Ordnung.
Nach einem Neustart des ISA-Servers bzw. der ganzen Maschine funktionierte
die Verbindung auf anhieb. Ich kann mir nur erklären, dass da irgendeine
Verbindung hing. Netzwerktechnisch usw. war auch alles in Ordnung, hatte
das nochmal überprüft.
Naja, schlussendlich ist das Ziel erreicht, einen FTPS-Server zu publishen.
ah - jeder reboot tut gut! ;-)
freut mich zu lesen, somit sind die artikels der kollegens korrekt und
hiermit nochmal validiert.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Nils Wöhler
2010-03-08 08:14:13 UTC
Permalink
Moin!
Post by unknown
moin nils,
Post by Nils Wöhler
Na gut! Ich geb mich geschlagen! Habs mir grad angeschaut!
strike! ;-)
jaja! :)
Post by unknown
Post by Nils Wöhler
Mal schauen was Marc gleich auf der Cebit zu zeigen hat :)
tonnenweise schöne sachen - allen voran sich selber! hihi.
Nah, der war zu busy und musste dann erstmal was essen gehen :)
Er sah auch schon sehr abgemagert aus *g*

Fand die Cebit nun aber nicht so super.
Post by unknown
ah - jeder reboot tut gut! ;-)
freut mich zu lesen, somit sind die artikels der kollegens korrekt und
hiermit nochmal validiert.
full ack! es funktioniert!
--
Gruß Nils
------------
Theorie ist, wenn man alles weiß und nichts klappt,
Praxis ist, wenn man nichts weiß, alles klappt und keiner weiß warum.

Zitat von Thomas Koehler in de.alt.sysadmin.recovery:
"Mein Gott, selbst ein Huhn kann Debian installieren, wenn du genug Koerner
auf die Enter-Taste legst."
Lesen Sie weiter auf narkive:
Loading...