FTPS - Datenverbindung über WAN kann nicht geöffnet werden

0

Hier ist mein Setup,

  • 1 Windows 2008 R2 Standard Box / mit installiertem G6-FTP-Server
  • G6 ist so konfiguriert, dass nur explizite SSL-Verbindungen verwendet werden (TCP: 990)
  • 1 WatchGaurd Firebox Firewall (zwischen Server und internem Netzwerk)

So kann ich ohne Probleme eine Verbindung herstellen und Verzeichnisse auf dem FTPS-Server auflisten, wenn ich eine Verbindung zum Server herstelle, während ich mit dem LAN verbunden bin (eigentlich wird RDP in die Win 2k8-Box geschrieben, Sie haben die Idee), aber wenn ich es versuche Remote-Verbindung zur FTPS-Site herstellen Ich kann anscheinend nicht das Basisverzeichnis des Benutzers auflisten, den ich auf dem Server konfiguriert habe

13/05/29 20:00:48, 39, 98.208.xx.xx, , new connection from 98.208.xx.xx on 10.1.2.252:990 (Explicit SSL only)
13/05/29 20:00:48, 39, 98.208.xx.xx, , hostname resolved : c-98-208-xx-xx.hsd1.ca.comcast.net
13/05/29 20:00:48, 39, 98.208.xx.xx, , sending welcome message.
13/05/29 20:00:48, 39, 98.208.xx.xx, , 220 Gene6 FTP Server v3.10.0 (Build 2) ready...
13/05/29 20:00:48, 39, 98.208.xx.xx, , AUTH TLS
13/05/29 20:00:48, 39, 98.208.xx.xx, , 234 AUTH command ok; starting SSL connection.
13/05/29 20:00:48, 39, 98.208.xx.xx, , establishing encrypted session
13/05/29 20:00:48, 39, 98.208.xx.xx, , USER username
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 331 Password required for username.
13/05/29 20:00:48, 39, 98.208.xx.xx, username, PASS ****
13/05/29 20:00:48, 39, 98.208.xx.xx, username, logged in as "username".
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 230 User username logged in.
13/05/29 20:00:48, 39, 98.208.xx.xx, username, SYST
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 215 UNIX Type: L8
13/05/29 20:00:48, 39, 98.208.xx.xx, username, FEAT
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 211-Extensions supported:
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  AUTH TLS
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  CCC
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  CLNT
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  CPSV
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  EPRT
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  EPSV
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  MDTM
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  MFCT
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  MFMT
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  MLST type*;size*;create;modify*;
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  MODE Z
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  PASV
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  PBSZ
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  PROT
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  REST STREAM
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  SIZE
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  SSCN
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  TVFS
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  UTF8
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  XCRC "filename" SP EP
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  XMD5 "filename" SP EP
13/05/29 20:00:48, 39, 98.208.xx.xx, username,  XSHA1 "filename" SP EP
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 211 End.
13/05/29 20:00:48, 39, 98.208.xx.xx, username, CLNT FileZilla
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 200 Noted.
13/05/29 20:00:48, 39, 98.208.xx.xx, username, OPTS UTF8 ON
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 200 UTF8 OPTS ON
13/05/29 20:00:48, 39, 98.208.xx.xx, username, PBSZ 0
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 200 PBSZ=0
13/05/29 20:00:48, 39, 98.208.xx.xx, username, PROT P
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 200 PROT command successful.
13/05/29 20:00:48, 39, 98.208.xx.xx, username, PWD
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 257 "/" is current directory.
13/05/29 20:00:48, 39, 98.208.xx.xx, username, TYPE I
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 200 Type set to I.
13/05/29 20:00:48, 39, 98.208.xx.xx, username, PORT 98,208,65,76,34,82
13/05/29 20:00:48, 39, 98.208.xx.xx, username, 200 Port command successful.
13/05/29 20:00:49, 39, 98.208.xx.xx, username, MLSD
13/05/29 20:01:01, 38, 98.208.xx.xx, username, 425 Cannot open data connection.
13/05/29 20:01:01, 38, 98.208.xx.xx, username, disconnected. (00d00:00:22)
13/05/29 20:01:10, 39, 98.208.xx.xx, username, 425 Cannot open data connection.
13/05/29 20:01:10, 39, 98.208.xx.xx, username, disconnected. (00d00:00:22)

Nun ist mir klar, dass für FTP sowohl ein DATA (TCP / 20) - als auch ein SESSION (TCP / 21) -Port geöffnet sein muss. Unter Berücksichtigung der Tatsache, dass ich Port 21 nicht verwende, kann ich jedoch feststellen, welchen Datenport ich verwende verwende ich Port 990 über SSL (FTPS)?

Ich habe Port 20, Port 21 und Port 990 als Test für die Internet-Firewall und die Windows-Server-Firewall geöffnet, kann jedoch immer noch keine Verzeichnisliste anzeigen, wenn ich eine Verbindung über das Internet herstelle. Ich habe versucht, eine Verbindung mit ACTV- und PASV-Methoden in Filezilla herzustellen und immer noch keine Würfel. Ich erinnere mich an die Zeit, als diese Art von Problem normalerweise auf aktive und passive Verbindungen zurückzuführen war, aber die Details sind in meinem Kopf trübe. Und wenn dies alles auf Aktiv oder Passiv zurückzuführen ist, warum kann ich dann eine Verzeichnisliste erhalten, wenn ich eine Verbindung über das LAN des Netzwerks herstelle?

Die Berechtigungen für den Ordner, der für diesen Benutzer freigegeben wird, sind für alle Benutzer mit vollständigen Berechtigungen versehen, nur um das Problem zu beseitigen, das dahintersteckt, warum ich eine Verzeichnisliste erhalten kann.

Meine Frage ist also: Was genau ist hier los? Warum kann ich keine Datenverbindung über das WAN herstellen, aber über das LAN? Liegt das irgendwie an explizitem SSL? Aktiv / Passiv Problem?

Hier ist die Protokollausgabe einer erfolgreichen lokalen FTPS-Sitzung

13/05/29 20:16:32, 40, 10.1.2.252, , new connection from 10.1.2.252 on 10.1.2.252:990 (Explicit SSL only)
13/05/29 20:16:32, 40, 10.1.2.252, , hostname resolved : IMSSERVER.alpine.local
13/05/29 20:16:32, 40, 10.1.2.252, , sending welcome message.
13/05/29 20:16:32, 40, 10.1.2.252, , 220 Gene6 FTP Server v3.10.0 (Build 2) ready...
13/05/29 20:16:32, 40, 10.1.2.252, , AUTH TLS
13/05/29 20:16:32, 40, 10.1.2.252, , 234 AUTH command ok; starting SSL connection.
13/05/29 20:16:32, 40, 10.1.2.252, , establishing encrypted session
13/05/29 20:16:32, 40, 10.1.2.252, , USER username
13/05/29 20:16:32, 40, 10.1.2.252, username, 331 Password required for username.
13/05/29 20:16:32, 40, 10.1.2.252, username, PASS ****
13/05/29 20:16:32, 40, 10.1.2.252, username, logged in as "username".
13/05/29 20:16:32, 40, 10.1.2.252, username, 230 User username logged in.
13/05/29 20:16:32, 40, 10.1.2.252, username, CLNT FileZilla
13/05/29 20:16:32, 40, 10.1.2.252, username, 200 Noted.
13/05/29 20:16:32, 40, 10.1.2.252, username, OPTS UTF8 ON
13/05/29 20:16:32, 40, 10.1.2.252, username, 200 UTF8 OPTS ON
13/05/29 20:16:32, 40, 10.1.2.252, username, PBSZ 0
13/05/29 20:16:32, 40, 10.1.2.252, username, 200 PBSZ=0
13/05/29 20:16:32, 40, 10.1.2.252, username, PROT P
13/05/29 20:16:32, 40, 10.1.2.252, username, 200 PROT command successful.
13/05/29 20:16:32, 40, 10.1.2.252, username, PWD
13/05/29 20:16:32, 40, 10.1.2.252, username, 257 "/" is current directory.
13/05/29 20:16:32, 40, 10.1.2.252, username, TYPE I
13/05/29 20:16:32, 40, 10.1.2.252, username, 200 Type set to I.
13/05/29 20:16:32, 40, 10.1.2.252, username, PORT 10,1,2,252,220,229
13/05/29 20:16:32, 40, 10.1.2.252, username, 200 Port command successful.
13/05/29 20:16:32, 40, 10.1.2.252, username, MLSD
13/05/29 20:16:32, 40, 10.1.2.252, username, 150 Opening data connection for directory list.
13/05/29 20:16:32, 40, 10.1.2.252, username, establishing encrypted session
13/05/29 20:16:32, 40, 10.1.2.252, username, 226 Transfer ok.
Richie086
quelle
Ich sollte wahrscheinlich erwähnen, dass die WatchGaurd Firewall eine TON von Optionen für FTP-Proxy-Sachen hat (wie das Blockieren von zertifizierten FTP-Befehlen über das WAN). Standardmäßig habe ich alle FTP-Proxy-Optionen so eingestellt, dass alle Befehle, die die FW zur Verfügung hat, zugelassen sind in Bezug auf FTP .. Ich kann Screenshots bei Bedarf posten ... nicht sicher, ob das der Täter ist tho.
Richie086
Sie sagen, dass es vom LAN aus funktioniert, aber Sie scheinen zu sagen, dass Sie dies getestet haben, indem Sie direkt auf die 2K8-Box, die die FTP-Site hostet, RDP-fähig gemacht haben. Wenn dies der Fall ist, ist dies kein wirklicher LAN-Test (?).
ƬᴇcƬᴇιʜ007

Antworten:

1

Ich bin mir ziemlich sicher, dass Sie auf dem richtigen Weg sind, da es sich um ein Aktiv / Passiv-Problem handelt.

Sie müssen fast immer passiv verwenden, wenn Sie einen NAT-Router oder eine Firewall durchlaufen.

Der Trick bei passivem FTP und NAT / Firewalls besteht darin, dass Sie einen passiven Portbereich angeben müssen, den der FTP-Server verwenden kann, und diesen Portbereich dann über die Firewall an den FTP-Server weiterleiten.

Richten Sie den FTP-Server für die Verwendung passiver Verbindungen ein und geben Sie einen Satz von ungefähr 1000 TCP-Ports an. Wir verwenden 50000-51000.

Zusätzlich wird / sollte der FTP-Server einen Platz in seiner passiven Konfiguration haben, um die externe IP-Adresse anzugeben (nicht sicher über G6, aber FileZilla bietet auch einen IP-Resolver-Dienst für dynamische IPs an). Dies muss ebenfalls bereitgestellt werden.

Für FTPS muss Port 990 geöffnet sein, und Port 21 kann weiterhin beantwortet werden, da er für explizites FTP über TLS verwendet werden kann. Port 20 sollte nicht benötigt werden.

ƬᴇcƬᴇιʜ007
quelle
Nochmals Techie007, du hast den Tag gerettet! Genau darum ging es. Ich habe den FTP-Server so eingestellt, dass er eine Reihe von PASV-Ports verwendet, und jetzt funktioniert alles über das WAN. Du rockst!
Richie086