FTP-Server hinter Firewall - Ich werd noch bekloppt!

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon Northpack » Fr 01.11.2002 - 11:36

Ich hab gestern den ganzen Abend damit verbracht die Firewall meines Vigors anstandsgemäß zu konfigurieren, wobei mir die Dokumentation von Michael König eine große Hilfe war. Hat auch alles soweit geklappt - nur als ich eine eigenen Regel für den Betrieb eines FTP Servers (BPFTP) hinzufügen wollte, fingen die Probleme an. Nachdem die ersten Versuche nicht von Erfolg gekrönt waren, hatte ich irgendwann eine funktionierende Regel 'ausgetüftelt' - ein Bekannter konnte sich jedenfalls problemlos mit dem Server verbinden und im passive Mode (und nur im passive Mode! ) Dateien herunterladen.

Der merkwürdige war, daß die Regel überhaupt nicht für den Passive Mode vorgesehen war, und die Firewall eigentlich nur ausgehende(! ) Verbindungen > 1023 & = 20 zulassen sollte. Für eingehende war lediglich die 21 freigegeben. Wenn ich die FTP-Spezifikationen richtig verstanden habe, dann wäre dies die zutreffende Konfiguration um einen FTP-Server im Active Mode zu betreiben, was für den Server ja auch sicherer ist. Ironischerweise konnte mein Bekannter jedoch - genau umgekehrt - nicht per Active Mode, sondern ausschließlich per Passive Mode auf den Server zugreifen. Obwohl die Ports > 1023 für eingehende Verbindungen eigentlich hätten geschlossen sein müssen (ich habe das Ruleset hundertmal überprüft, es ist definitiv fehlerfrei, mit einer Deny-All Regel am Ende, sowohl für alle eingehenden als auch für alle ausgehenden Verdbindungen). Nun funktioniert aber Passive Mode so, daß der Client die Verbindung auf einem vom ihm gewählten Port in diesem Bereich aufbaut, während bei Active Mode FTP der Server die Verbindung von Port 20 aus innitiert. Das macht also alles keinen Sinn... aber damit nicht genug: nach einem Router-Neustart konnte mein Bekannter - bei unverändertem Ruleset! - wieder keine Verbindung mehr zu meinem FTP-Server herstellen. Obwohl der Passive Mode, wie gesagt, eigentlich niemals hätte funktionieren dürfen, beschreibt dieser Modus nur wie der Datentransfer zustande kommt - die eigentliche FTP-Befehlsverbindung findet immer auf Port 21 statt, der nachwievor (wie gesagt, der Router wurde lediglich neu gestartet, an der Firewall Konfiguration hatte ich zu diesem Zeitpunkt nichts geändert) für eingehende Verbindung geöffnet war. Aber diese Verbindung auf Port 21 kommt nicht mehr zustande und ich bin mit meinem Latein jetzt ziemlich am Ende und einigermaßen genervt. Entweder ich bin wirklich bekloppt, oder die Firewall-Implementierung vom Vigor ist grob fehlerhaft: einmal sind alle möglichen Ports offen, die es nicht sien dürften, ein andernmal ist bei unveränderter Konfiguration der einzige Port der eigentlich offen sein sollte, nicht zu erreichen.

Aus dem Block-Log:

Code: Alles auswählen
11:07:41.690 lan @0:3 p 195.211.47.154,3339 -> 192.168.1.10,ftp
    PR tcp len 20 60 -S 4139923580 0 32120 IN


Die Regel dazu: Sofort durchlassen; Protokollieren: ja; Richtung: rein; Protokoll TCP; Quelle: any, any; Ziel: any, = 21.

Wo ist da denn die Logik!?? Im verzweifeln begriffen...
Northpack
Northpack
User
 
Beiträge: 12
Registriert: Di 29.10.2002 - 11:08

Beitragvon defence » Fr 01.11.2002 - 12:37

Die angesprochene Dokumentation berücksichtigt den Fall, dass der eigene Rechner als Server eingesetzt wird, nicht. Um den eigenen Rechner als Server für aktives ftp zur Verfügung zu stellen, sind weitere Regeln erforderlich:
Es muss eine eingehende TCP-Erlaubnisregel von allen Source-Ports >1024 (der Vigor interpretiert dies als >=1024) auf den Destination-Port 21 erstellt werden und eine ausgehende TCP-Erlaubnisregel von Source-Port 20 auf alle Destination-Ports >1024.


Einzelheiten bei

http://www.computerbetrug.de/firewall/regeln.php?p=0|17|

unter ftp.

Gruß
defence
Power-User
 
Beiträge: 115
Registriert: Do 25.04.2002 - 18:15

Beitragvon Northpack » Fr 01.11.2002 - 15:26

Hallo!

Danke erstmal für die Antwort.

Das das Beispiel Ruleset von König keine Regel für einen FTP-Serverdienst beinhaltet ist mir schon klar (so doof bin ich dann auch wieder nicht). Wie ich in dem obigen Beitrag ja auch geschrieben habe - ich hatte eine Regel für eingehende Verbindungen von Port X auf Port 21 definiert. Es kam eben (nach dem Router Neustart) dennoch keine Verbindung zustande. Ich habe die Ursache jetzt gefunden und es ist mir immernoch absolut schleierhaft wie das sein kann: eine Verbindung zum FTP-Server hinter der Firewall ist nur dann möglich, wenn ich zusätzlich zu der Regel für eingehende Verbindungen auf Port 21 noch eine Regel für ausgehende Verbingen von Port 21 anlege. Wohlgemerkt Port 21! - Port 20 hatte ich bereits zuvor für ausgehende Verbindungen via Active FTP freigegeben. Kann mir mal jemand erklären wo da der Sinn verloren gegangen ist? Offenbar erkennt der Vigor die Antwortpackete des FTP Servers nicht als solche und wertet sie stattdessen als ausgehende Packete!??

Und es wird noch bunter: wenn ich nun im laufenden Betrieb eine solche Regel, die also ausgehende Verbindungen erlaubt, hinzufüge ist, scheint diese solange nicht aktiv zu werden, bis ich den Router über das Webinterface neu starte. Wenn ich dann wiederum im laufenden Betrieb die Regel deaktiviere, bleibt der Server dennoch erreichbar - bis ich wiederum einen neustart veranlasse. So erklärt sich vermutlich das merkwürdige Verhalten gestern, daß nach einem Neustart nach zuletzt unveränderter Konfuguration der Server auf einmal nicht mehr erreichbar war. Ich teste noch mal ein wenig herum - aber wenn das wirklich so ist, daß die Firewall Änderungen erst nach einem Neustart korrekt übernimmt, wäre das IMHO schon eine ziemliche Sicherheitslücke.

Als ob das nicht genug wäre - auch das andere bereits eingangs beschriebene Problem besteht weiterhin: obwohl ich im Firewall Regelset für eingehende Verbindungen ausschließlich den Port 21 Freigegeben habe (eine Deny-All Regel blockt jegliche eingehenden Pakete) - der FTP-Server also somit nur im Active Mode funktionieren sollte, ist er dennoch im Passive Mode ereichbar! Das erscheint noch absurder, wenn man mal überlegt das da die Verbindung nicht nur auf einem unpriviligierten Port herinkommt sondern vom FTP-Server ja auch auf einen unpriviligierten angenommen wird. Ich habe aber in der Portweiterleitung lediglich Port 20 & Port 21 an die IP des Rechners auf dem der FTP-Server läuft geroutet. Wie zum Teufel gelangen diese Packete überhaupt auf meinen Rechner!??

Ich versteh überhauptnix mehr :(
Northpack
User
 
Beiträge: 12
Registriert: Di 29.10.2002 - 11:08

Beitragvon Northpack » Fr 01.11.2002 - 15:34

Also jetzt dreh ich komplett am Rad!

Streicht den zweiten Absatz aus dem vorigen Posting...

...das ganze ist NOCH BEKLOPPTER!

Offensichtlich ist der FTP-Server nach einem Neustart des Routers für ca. 5-10 Minuten erreichbar. Danach ist wieder Sense, kein Verbindungsaufbau möglich. Ich habe jetzt keine Änderungen an dem Ruleset mehr vorgenommen... wieder Neustart. Wieder ist der ca. 5 Minuten erreichbar. Dann wieder keine Verbindung mehr möglich, eingehende Packete werden geblockt. Neustart - wieder 5 Minuten erreichbar. Und zwar immer auch im Passive Mode, der nach allen Vorraussetzungen überhaupt nicht möglich sein dürfte (und zwar weder dürfte er von der Firewall zugelassen werden noch über die Portweiterleitung an meinen Rechner vermittelt werden)!


NACHTRAG: Ich habe es jetzt über www2ftp probiert, und nun funktioniert es problemlos. Muß wohl am Cache meines FTP-Clients gelegen haben!?...
Northpack
User
 
Beiträge: 12
Registriert: Di 29.10.2002 - 11:08


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste