Discussion:
Zugriffsproblem FTP Server (int => dmz)
(zu alt für eine Antwort)
Stefan Frank
2010-04-13 16:54:56 UTC
Permalink
Hallo Zusammen,

hinter unserem ISA 2004 Server arbeitet in der DMZ ein Web- und FTP Server.
Den Web Server konnte ich erfolgreich veröffentlichen (Zugriff intern und
extern).
Der FTP-Server will, nach der Veröffentlichung aber nur von aussen, angesprochen
werden. Intern geht nicht:

ISA2004:
Int 192.168.1.2 <route> dmz 192.168.101.1 <nat> extern

Serververöffentlichungsregel:
Allgemein: Aktiv
Aktion: Zulassen
Datenverkehr: FTP-Server
Von: Beliebig
Bis: 192.168.101.3 (hier arbeitet der FTP Server)
Netzwerke: Extern und Intern
Zeitplan: Immer

Im ISA Protokoll sehe ich wie z.B. ein 1.18 Client zugreifen möchte:
Client-IP: 192.168.1.18
Ziel-IP: 192.168.1.2
Zielport: 21
Protokoll: FTP
Aktion: Verweigerte Verbindung
Regel: Standardregel
Quellnetzwerk: Intern
Zielnetzwerk: Lokaler Host

Habt ihr eine Idee ?

Jeder Tipp ist herzlich willkommen :-)

Viele Grüße,
Stefa
Jens Baier
2010-04-13 18:07:18 UTC
Permalink
Hi,
Post by Stefan Frank
Allgemein: Aktiv
Aktion: Zulassen
Datenverkehr: FTP-Server
Von: Beliebig
Bis: 192.168.101.3 (hier arbeitet der FTP Server)
Netzwerke: Extern und Intern
Zeitplan: Immer
da Du Route als Netzwerkverhaeltnis hast reicht es, eine Zugriffsregel aus
dem Internen Netzwerk zum FTP Server in der DMZ zu erstellen.
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-04-13 19:40:18 UTC
Permalink
huhu,
Post by Jens Baier
da Du Route als Netzwerkverhaeltnis hast reicht es, eine Zugriffsregel aus
dem Internen Netzwerk zum FTP Server in der DMZ zu erstellen.
ganeu! und von extern aus mit einem serverpublish den ftp erreichbar machen
und gut is.
somit entfernst du von der veröffentlichungsregel das netzwerk "intern".
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Stefan Frank
2010-04-14 06:09:41 UTC
Permalink
Post by unknown
huhu,
Post by Jens Baier
da Du Route als Netzwerkverhaeltnis hast reicht es, eine
Zugriffsregel aus dem Internen Netzwerk zum FTP Server in der DMZ zu
erstellen.
ganeu! und von extern aus mit einem serverpublish den ftp erreichbar machen
und gut is.
somit entfernst du von der veröffentlichungsregel das netzwerk "intern".
Hallo Jens & Jens :-)

ja das wird bestimmt gehen ABER:

Auf dem Server in der DMZ ist bereits der Port 80 belegt und somit musste
ich den Web Server auf Port 81 verbiegen.
Damit der User im internen LAN nicht http://update.firma.de:81 eingeben muss
habe ich den Web Server veröffentlicht.

Sprich update.firma.de zeigt intern auf 192.168.1.2 (ISA) => WebServer Veröffentlichung
=> 192.168.101.3:81

Nun möchte man via ftp den Inhalt von update.firma.de pflegen. Wenn ich,
wie vorgeschlagen, eine Zugriffsregel erstelle kann der Client nicht auf
update.firma.de zugreifen sondern muss 192.168.101.3 eingeben.

Haben wir dafür auch noch eine Lösung, alternativ muss ich einen 2ten DNS
Eintrag erstellen.

Vielen Dank,
Stefa
Jens Baier
2010-04-14 06:35:41 UTC
Permalink
Hi,
Post by Stefan Frank
Nun möchte man via ftp den Inhalt von update.firma.de pflegen. Wenn ich,
wie vorgeschlagen, eine Zugriffsregel erstelle kann der Client nicht auf
update.firma.de zugreifen sondern muss 192.168.101.3 eingeben.
Haben wir dafür auch noch eine Lösung, alternativ muss ich einen 2ten DNS
Eintrag erstellen.
ich wuerde einen zweiten DNS Eintrag erstellen
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-04-14 07:16:21 UTC
Permalink
moin stefan,
Post by Stefan Frank
Haben wir dafür auch noch eine Lösung, alternativ muss ich einen 2ten DNS
Eintrag erstellen.
das wäre sicherlich am einfachsten!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Stefan Frank
2010-04-14 07:32:55 UTC
Permalink
Post by unknown
das wäre sicherlich am einfachsten!
Nagut dann Quick'n'Dirty :-)

Danke
Stefan Frank
2010-04-14 15:37:17 UTC
Permalink
Ich noch ma
unknown
2010-04-14 16:05:55 UTC
Permalink
Post by Stefan Frank
Ich noch mal
servus!
;-)
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Stefan Frank
2010-04-14 15:49:36 UTC
Permalink
Ich noch mal !
Post by Jens Baier
da Du Route als Netzwerkverhaeltnis hast reicht es, eine Zugriffsregel
aus dem Internen Netzwerk zum FTP Server in der DMZ zu erstellen.

Ok 2ter DNS Eintrag und Zugriffsregel:

Von intern
Nach Umkreis (DMZ)
Protokoll FTP

ist vorhanden und erreicht auch den FTP Server (Anmeldung i.O.) !

ABER beim Zugriff auf den Ordner (LIST) gibt es sowohl beim aktiven als auch
beim passiven FTP ein Problem:

Aktiv:
Status: Verbinde mit 192.168.101.3:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 BulletProof FTP Server ready ...
Befehl: USER TestUser
Antwort: 331 Password required for TestUser
Befehl: PASS **********
Antwort: 230 User TestUser logged in.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PORT 192,168,1,18,7,68
Antwort: 200 Port command successful.
Befehl: LIST
Antwort: 150 Opening data connection for directory list.
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Passiv:
Status: Verbinde mit 192.168.101.3:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 BulletProof FTP Server ready ...
Befehl: USER TestUser
Antwort: 331 Password required for TestUser
Befehl: PASS **********
Antwort: 230 User TestUser logged in.
Befehl: SYST
Antwort: 215 UNIX Type: L8
Befehl: FEAT
Antwort: 500 Unknown command.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (192,168,101,3,84,177).
Befehl: LIST
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Beim passiven FTP sehe ich weiterhin verweigerte Verbindungen im Protokoll:
Client-IP: 192.168.1.18
Ziel-IP: 192.168.101.3
Zielport: 38436
Aktion: Verweigerte Verbindung
Regel: Standardregel
Quellnetzwerk: Intern
Zielnetzwerk: Umkreis

Hilfe ;-
unknown
2010-04-14 16:00:07 UTC
Permalink
Post by Stefan Frank
Ich noch mal !
Post by Jens Baier
da Du Route als Netzwerkverhaeltnis hast reicht es, eine Zugriffsregel
aus dem Internen Netzwerk zum FTP Server in der DMZ zu erstellen.
Von intern Nach Umkreis (DMZ)
Protokoll FTP
ist vorhanden und erreicht auch den FTP Server (Anmeldung i.O.) !
ABER beim Zugriff auf den Ordner (LIST) gibt es sowohl beim aktiven als
Status: Verbinde mit 192.168.101.3:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 BulletProof FTP Server ready ...
Befehl: USER TestUser
Antwort: 331 Password required for TestUser
Befehl: PASS **********
Antwort: 230 User TestUser logged in.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PORT 192,168,1,18,7,68
Antwort: 200 Port command successful.
Befehl: LIST
Antwort: 150 Opening data connection for directory list.
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden
Status: Verbinde mit 192.168.101.3:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 BulletProof FTP Server ready ...
Befehl: USER TestUser
Antwort: 331 Password required for TestUser
Befehl: PASS **********
Antwort: 230 User TestUser logged in.
Befehl: SYST
Antwort: 215 UNIX Type: L8
Befehl: FEAT
Antwort: 500 Unknown command.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (192,168,101,3,84,177).
Befehl: LIST
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden
Client-IP: 192.168.1.18
Ziel-IP: 192.168.101.3
Zielport: 38436
Aktion: Verweigerte Verbindung
Regel: Standardregel
Quellnetzwerk: Intern
Zielnetzwerk: Umkreis
Hilfe ;-)
unknown
2010-04-14 16:01:53 UTC
Permalink
hai,
Post by Stefan Frank
Von intern Nach Umkreis (DMZ)
Protokoll FTP
für intern und umkreis gibt es eine route-relation (in den netzwerkregeln) -
bitte checke das gegen.
hast du die vordefinierte ftp-protokolldefinition verwendet - oder eine
selbsterstellte? falls selbst, dann verwende bitte mal die vom isa selber.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Stefan Frank
2010-04-14 16:22:00 UTC
Permalink
Post by unknown
für intern und umkreis gibt es eine route-relation (in den
netzwerkregeln) -
bitte checke das gegen.
hast du die vordefinierte ftp-protokolldefinition verwendet - oder eine
selbsterstellte? falls selbst, dann verwende bitte mal die vom isa selber.
Jo jemand hat den Anwendungsfilter "FTP-Zugriffsfilter" vom FTP Protokoll
genommen, jetzt gehts !

Schönen Feierabend,
Danke
unknown
2010-04-14 16:25:44 UTC
Permalink
huhu stefan,
Post by Stefan Frank
Jo jemand hat den Anwendungsfilter "FTP-Zugriffsfilter" vom FTP Protokoll
genommen, jetzt gehts !
tsts, dieser jemand ist ein schuft!
;-)
spaß beiseite, schön das es jetzt klappt!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Loading...