Netzwerk alles läuft, aber FTP??

Hi,

also ich habe einkleines Netzwerk um mit 3 pc´s in´s Internet zu gehen. Auf allen Rechnern ist Win2000 installiert, und es funzt auch alles.

Nun sollte ein weiterer Rechner mit Win98 dazu. Es lüft alles (ICQ/Napster/Mirc) nur bei FTP streikt er.
257 "/" is current directory.
TYPE A
200 Type set to A.
PORT 192,168,0,2,4,28
200 PORT command successful.
LIST
150 Opening ASCII mode data connection for /bin/ls (291 bytes).

da bleibt er hängen, bzw:
200 Type set to A.
PORT 192,168,0,2,4,66
530 Port command only accepts client IP address.
LIST
451 Failed: Connect: No Port Specified.

Was mach ich falsch??

Server läuft mit WinRoute Pro.

Vielen Dank für eure Tips

Ich nehme an, das ist das Logfile von WS-FTP. Wenn dies so ist, dann versuche mal dich passiv zu verbinden (bzw. Active, wenn Du dich passiv verbindest).

Hast Du bei der Firewall etwas engestellt?

TT

------------------
Nur der Weise schweigt, um seine Dummheit zu verbergen. (TT Rulez)
NEU!! TT Linkz! Mit verbessertem Weichspüler!
Das Scrabbledo's InfoBoard ist wieder up! ...besucht unsere Erotik-Zone

Hi TT,

ich benutze noch Flash FXP

Der Firewall ist so eingestelt, das nichts geblockt wird.

So,

hab mal WS-FTP runtergeladen.

wenn ich da mich "passiv" verbinde klappts.

????? Warum ??????

unter Win2000 hats doch auch mit FlashFXP geklappt.

was bewirkt dieser passiv-mode denn?

Danke

Hi,

bei passiven FTP baut dein Rechner (Client) alle verbindungen zum Server auf. Bei aktivem FTP initiert zwar dein Rechner den Verbindungsaufbau für eine Data-Connection aber der Server baut sie dann zu deinem Rechner auf.Irgend etwas bei dir blockt herein kommende Pakete mit gesetzten SYN-Flag. D.h. das bei dir mit Sicherheit auch kein ICQ funktioniert.

Ciao,
RxT

Hi,

vielen Dank, ist verständlich. Ich habe auch inzwischen eine Funktion bei Flsh FXP gefunden um mich passiv zu Verbinden.

ICQ funzt bei mir aber trotzdem, mit Datei senden/empfangen etc.

Es ist auch nicht auf jedem FTP so.

welche Einstellung muß ich denn machen wenn der Flash FXP über WinRoute Pro mit aktivierter Firewall sich verbinden soll?

Ich habe jetzt mal die Firewall angefangen zu konfigurieren, ICQ/napster läuft, aber wie mache isch das bei FlashFXP?

Ich hätte gedacht, ich erlaube meinem Client sich per Port 21 an jeden FTP Server mit beliebigem Port zu verbinden. Aber wie stell ich denn ein, daß Flsh FXP immer den Port 21 bei mir nutzt um rauszugehen?

Der Port 21 initziert nur den Verbindungsaufbau.
Wenn Du Dich passiv verbindest, ist der Port für die Datenübertragung jedesmal ein anderer. Somit kannst Du dem nur entgegenwirken, wenn Du alle ankommenden Pakete blockierst, deren Syn-Flag nicht gesetzt ist (also nur die established zuläßt).

Wenn Du Dich aktiv Verbindest, dann wird die Verbindung vom Server zu Dir immer über den Port 20 erfolgen. Somit kannst Du zwar alle anderen Sperren, mußt aber den Port 20 völlig offen lassen (also auch ohne Syn-Flag).

Diese beiden Möglichkeiten hast Du

TT

------------------
Nur der Weise schweigt, um seine Dummheit zu verbergen. (TT Rulez)
NEU!! TT Linkz! Mit verbessertem Weichspüler!
Das Scrabbledo's InfoBoard ist wieder up! ...besucht unsere Erotik-Zone

Hi TT,


du nutzt doch auch Win Route Pro.
Kannst du mir nicht mal deine Einstellungen für FTP schicken?

Dann kann ich mir mal nen Überblick verschaffen.

Danke

Also die Clients lasse ich aktiv Verbinden. Ist mir lieber, da ich dann alle anderen Ports schließen kann.

Die Firewallkonfig sieht dann dementsprechend so aus:

Incoming:
TCP any Host Port=21 => TCP any Host all Ports !SYN
TCP any Host Port=20 => TCP any Host all Ports !SYN
TCP any Host Port=20 => TCP any Host all Ports Log

Outgoning:
TCP any Host all Ports => TCP any Host Port=21
TCP any Host all Ports => TCP any Host Port=20

Der Grund warum ich hier zwischen !SYN und ohne SYN-Flag unterscheide liegt darin, daß ich den Port 20 mitlogge. Aber einmal reicht, sobald die Verbindung steht, braucht er nichtmehr zu loggen (also mit !SYN gibt's kein Log-Eintrag mehr und das Logfile bleibt einigermaßen übersichtlich).

Der Grund, warum ich hier auf den aktiven Modus setze liegt darin, daß ich alle Ports sowohl raus als auch rein prinzipiell gesperrt habe (bis auf die, die explizit erlaubt sind). Das verhindert auch großteils, daß Software nach Hause telefoniert (Aurate benutzt neben dem 80er Port auch den Port 1749 sowie Ports die für Streaming Audio Verwendet werden. Somit ist die Chance geringer, da nicht alle den Port 80 verwenden).

TT

------------------
Nur der Weise schweigt, um seine Dummheit zu verbergen. (TT Rulez)
NEU!! TT Linkz! Mit verbessertem Weichspüler!
Das Scrabbledo's InfoBoard ist wieder up! ...besucht unsere Erotik-Zone

mhh, soweit so halbwegs klar,

aber mit dieser Konfiguration kann ich mich ja auch nur auf FTP Server verbinden die dies per Port 21 machen, oder?

Ziel wäre es, das der FTP Client immer einen festen Port rausnimmt, sich aber dann überall hin verbinden kann.

Ist dein Beispiel denn die Konfigurationsregeln zwischen client und server, oder zwischen Server und Internetverbindung?

tut mir leid, aber ich hab nicht ganz so vie Ahnung davon. Aber man lernt ja

Es gibt nur ganz wenige FTP-Server die keinen Active-Mode zulassen. Mir ist bis jetzt auch noch keiner untergekommen.

Und die 1. Anwahl muß über Port 21 erfolgen. Und diesen Port nimmt auch immer jeder Client.
Wenn die Verbindung im Active-Mode zustande kommt, dann ist der 2. Kanal der Port 20. Und das auch immer, darum bevorzuge ich ja diese Verbindung.

Und beim Client brauchst Du sonst nichts einstellen, außer daß er sich im active-Mode verbinden soll.

TT

------------------
Nur der Weise schweigt, um seine Dummheit zu verbergen. (TT Rulez)
NEU!! TT Linkz! Mit verbessertem Weichspüler!
Das Scrabbledo's InfoBoard ist wieder up! ...besucht unsere Erotik-Zone

Ich stell mich echt blöd an ich weiß aber....


Ich habe mal versucht bei FlashFXP mich aktiv zu verbinden.Hab also das Häkchen bei passiv mode entfernt.

jetzt meldet mir Winroute:

DenyPacketOut TCP 192.168.0.2:1353 --> etc.

also doch nicht Port 21/20.

Dieser Port ändert sich auch noch, beim zweiten Wählversuch 1363 dann 1366...

????? Hilfe, das muß man doch irgendwo einstellen können.

Dürfte dann an deinem FTP-Client liegen. Versuche mal WS-FTP Pro. Bei http://fosi.da.ru gibt's den

TT

------------------
Nur der Weise schweigt, um seine Dummheit zu verbergen. (TT Rulez)
NEU!! TT Linkz! Mit verbessertem Weichspüler!
Das Scrabbledo's InfoBoard ist wieder up! ...besucht unsere Erotik-Zone

ja danke, werd ich mal machen.

mir gefiel die graphische Oberfläche nur nicht...

aber wenns läuft.

andere Frage:

Ich hab mal nen Portscan auf mich gemacht, und bekomme so nette offene Ports angezeigt.

25, 110, Das ist glaub ich wegen dem Mailserver.

dann 139

3128, 3129, 5631, 44300 ?????

Mein Portscanner meldet dazu auch noch das Programm am Port (nehme ich an)

bei 25 z.B. ESMTP Winroute Pro
bei 5631: X.}....Please Press <ENTER>...

warum sind die denn offen???

und wenn ich netstat eingebe (beim Client) hat der auch so viele Verbindungen zu Server (listening). Meist so Port 1099, 1102, etc.

??

[Dieser Beitrag wurde von zeen am 29. November 2000 editiert.]

[Dieser Beitrag wurde von zeen am 29. November 2000 editiert.]

3128 und 3129 werden die Ports für einen Proxy sein, 5631 kann ich keiner bedeutung zuweisen, 44300 ist der Port für die WinRoute Pro konfiguration und Fernwartung, 139 NetBios, 25 und 110 sind vom Mailserver (SMTP und POP).

Das zeigt an, daß deine Firewallkonfiguration nicht unbedingt die beste ist. Poste mal, wie du deine Firewall konfiguriert hast.

TT


------------------
Nur der Weise schweigt, um seine Dummheit zu verbergen. (TT Rulez)
NEU!! TT Linkz! Mit verbessertem Weichspüler!
Das Scrabbledo's InfoBoard ist wieder up! ...besucht unsere Erotik-Zone

tja,
genau das befürchte ich ja auch.

ich poste das am Sonntag/Montag, weil ich erst dann wieder zu Hause bin.

soviel vorweg:

ich habe alle Regeln der T-Flat zugeordnet, oder ist das schon falsch??

keine seperaten Regeln erstellt für die Netzwerkkarte

Im Prinzip reicht es, die Regeln der aktuellen DFÜ-Verbindung zuzuweisen.

TT

Hi,

sorry bin leider erst jetzt dazu gekommen.
Hier ist mal ein Auszug aus meinen Regeln, nicht lachen ich mach das ja zum Erstenmal.

alle Regeln sind der T-Flat zugeordnet.
Incoming

permit:
TCP any host port 80 => any host all port
TCP any host port 4530 => any host all port (icq login)
TCP any host port 5190 => any host al port (ICQ login 2.Rechner)
TCP any host all orts =>any host port (4500-4599) (ICQ Listening)
TCP any host port 110 => any host all ports
TCP any host port 25 => any host all ports
TCP any host all ports => any host port (6698/6699) (napster)
TCP any host port 6667 => any host all ports (IRC)

Outgoing

TCP any host all ports => any host port 80
TCP 192....02 all port=Yany host port 4530 (ICQ login)
TCP 192....03 all port=any host port 5190
TCP 192....03 port(4550/4599)=>any host all port(ICQ Listening)
TCP 192....02 port (4500/4550)=>any host all port (ICQ listening)
TCP any host all port => any host port 110
TCP any host port(6698/6699)=> any host all port (napster)

Du mußt als letzte Regel folgende anfügen:

Incoming:
drop TCP any host all ports => TCP any host all ports !SYN
drop TCP any host all ports => TCP any host all ports
drop UDP any host all ports => UDP any host port!=53

Outgoing:
deny TCP any host all ports => TCP any host all ports
deny UDP any host port!=53 => UDP any host all ports

Der Grund, warum ich hier bei den Incoming Unterscheide zwischen !SYN (established) und anderen Verbindungen ist der, daß ich zur Not hier mal schnell die Verbindung öffnen kann, wenn ich mal schnell was im Internet brauche, dennoch einen gewissen Schutz noch besitze (ebenso muß ich allerdings dann auch die Outgoing öffnen!)

TT

Hi,

ansonsten ist es ok so??

was soll denn das mit "drop"??

Ich hatte als letzte Regel Deny TCP anyhost=>any Host

also alles weggeblockt.

und wofür steht UDP port 53?

Vielen Dank