Ayom -> Firewall-Einstellungen für FTP

Ayom -> Forum -> Webmaster-Ecke -> Server-Technik, Domains & Security

Anzeige - [Hier werben / Mediadaten]

(?) Tags raten (?) aktives ftp, firewall, ftp, passives ftp (edit)

Firewall-Einstellungen für FTP

Thema abonnieren | Thema versenden | Thema drucken

sd12

Geschrieben am: Mo 16.01.2006, 01:05

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3581
Mitglied seit: 3.03.2004

Hab so meine Probleme mit der Firewall; sobald ich Sie einschalte kann ich nicht mehr per FTP uploaden...

DAs sind meine Rules:

QUOTE

tcp Alle 21 Allow aktiv
tcp Alle 22 Allow aktiv
tcp Alle 25 Allow aktiv
tcp Alle 80 Allow aktiv
tcp Alle 110 Allow aktiv
tcp Alle 143 Allow aktiv
tcp Alle 443 Allow aktiv
tcp Alle 465 Allow aktiv
tcp Alle 993 Allow aktiv
tcp Alle 995 Allow aktiv
tcp Alle 8443 Allow aktiv
udp 53 Alle Allow aktiv
udp 123 Alle Allow aktiv
icmp -/- -/- Allow aktiv
tcp 25 Alle Allow aktiv
tcp 5224 Alle Allow aktiv

Was ist falsch?

--------------------

************************
Treiber f[r das Kezboard ist [berfl[ssig.

Sascha Ahlers

#2 Geschrieben am: Mo 16.01.2006, 02:49 (+01:44)

AyomRank 8
Group Icon

Gruppe: Experten Entwicklung
Beiträge: 1708
Mitglied seit: 27.12.2004

QUOTE (Benedikt @ Mo 16.1.2006, 1:05)

[...] Was ist falsch?

Nun, <ironie>FTP ist etwas feines in Bezug auf Sicherheit</ironie>. Es gibt ein richtig schönes Problem mit FTP (insbesondere beim passiven FTP), dazu muss man aber die Funktionsweise von FTP etwas verstehen:

Aktives FTP
Der Server öffnet eine Verbindung von Port 20 auf seiner Seite, zu einen hohen Port [1] des Clients, welcher zuvor über eine Kontrollverbindung (Port 21) festgelegt wurde.

Passives FTP
Hierbei wird die Datenverbindung vom Client aus initiiert. Server und Client benutzen hierbei beide hohe Port [1]. Der vom Server benutzte Port wird dem Client im Vorfeld über die Kontrollverbindung mitgeteilt.

Bei aktiven FTP reicht es also aus, wenn Port 20 auf dem Server freigegeben wird. Passives FTP möchte man deshalb eher vermeiden bei einen Server...

Hier mal kurz die Regeln für eine Firewall basierend auf iptables:

CODE

# FTP Kontrollverbindung
iptables -A INPUT -p tcp --dport 1024:65535 --sport 21 ! --syn -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT

# aktives FTP
iptables -A INPUT -p tcp --dport 1024:65535 --sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 20 ! --syn -j ACCEPT

# passives FTP
iptables -A INPUT -p tcp --dport 1024:65535 --sport 1024:65535 ! --syn -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT

MfG Sascha Ahlers

[1] Dieser Port wird zufällig ermittelt...

--------------------

Joseph Joubert: "Der Verstand kann uns sagen, was wir unterlassen sollen. - Aber das Herz kann uns sagen, was wir tun müssen."

Sicherheit beim Programmieren: Top 10 application vulnerabilities in 2007

Lexus	#3 Geschrieben am: Mo 16.01.2006, 15:06 (+12:17)
AyomRank 5 Gruppe: Member (aktiv) Beiträge: 287 Mitglied seit: 6.01.2004	Was bedeutet diese Regel? icmp -/- -/- Allow aktiv heisst das nun, dass du alle icmp packete blockst oder alle durchlässt? Beides wäre in meinen Augen ein Fehler... Lexus

sd12

#4 Geschrieben am: Mo 16.01.2006, 20:51 (+05:44)

AyomRank 9
Group Icon

Gruppe: Moderatoren
Beiträge: 3581
Mitglied seit: 3.03.2004

QUOTE (Lexus @ Mo 16.1.2006, 15:06)

Was bedeutet diese Regel?

icmp -/- -/- Allow aktiv

heisst das nun, dass du alle icmp packete blockst oder alle durchlässt? Beides wäre in meinen Augen ein Fehler...

Lexus

Ich lasse alle durch...

Warum ein Fehler?

@sascha
danke das mit Port 20 hat funktioniert...

--------------------

************************
Treiber f[r das Kezboard ist [berfl[ssig.

Lexus	#5 Geschrieben am: Mo 16.01.2006, 21:29 (+00:38)
AyomRank 5 Gruppe: Member (aktiv) Beiträge: 287 Mitglied seit: 6.01.2004	Schau dir mal den unteren Teil von dieser Seite an: http://www.protecus.de/Firewall_Security/icmp.html cu Lexus

sd12	#6 Geschrieben am: Mo 16.01.2006, 21:40 (+00:10)
AyomRank 9 Gruppe: Moderatoren Beiträge: 3581 Mitglied seit: 3.03.2004	Jetzt weiss ich, dass meine Firewall schlecht konfiguriert ist, hasst du mir aber auch noch den Tipp, wie ich das Problem behebe? -------------------- ************************ Treiber f[r das Kezboard ist [berfl[ssig.

Lexus	#7 Geschrieben am: Di 17.01.2006, 11:11 (+13:30)
AyomRank 5 Gruppe: Member (aktiv) Beiträge: 287 Mitglied seit: 6.01.2004	Ich verwende iptables und apf auf meinem Server und bei APF wird standardmässig folgendes konfiguriert: IG_ICMP_TYPES="3,5,11,0,30,8" Dies sind die ICMP Typen die erlaubt sind. Was für eine Firewall verwendest du? cu Lexus

Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)

0 Mitglieder:

« mediacache | Server-Technik, Domains & Security | Security-Check »

Trackback-Url: http://www.ayom.com/track/t/10147

Dieses Thema abonnieren

Ähnliche Themen

Themen Titel	Autor	Views	Antworten	Letzte Aktion
Einstellungen zu Session-Cookies	cr4m0	114	0	Sa 29.03.2008, 00:16
Plesk Login hinter Firewall	sd12	205	2	Mo 14.01.2008, 12:56
Firewall mit IP-Tables	sterndi	211	2	Do 10.01.2008, 12:46
php ini Einstellungen bei captcha Script	Simi	409	6	Do 25.10.2007, 14:40
Apache Einstellungen für "unbegrenzte" Subdomains	Christian Strang	420	4	So 15.07.2007, 17:56
WS_FTP Server einstellungen Backupen	Phile	300	1	Do 5.07.2007, 11:10
G-Data einstellungen	Christian	309	1	Mo 25.06.2007, 20:17
Firewall / VPN	wsammy	300	1	Mo 8.01.2007, 10:56
Linux Firewall	sd12	476	5	Mi 29.11.2006, 20:00

Anzeige - [Hier werben / Mediadaten]

Startseite

Ayom Blog

Forum

Wissensdatenbank

Domainbörse

Supertext

Über Ayom

Partner

Anzeigen