proftp und checkpoint fw-1 NG Problem

[peter rexa]

Hallo,
wir haben einen proftpd 1.2.8 server aufgesetzt.

User hinter einer CheckPoint NG Firewall können auf den Server nicht zugreifen. Da die FW das Port Kommando als nicht RFC konform ablehnt.

Dieses Verhalten ist ein bekanntes Problem mit BSD Style Port Kommandos. Sun hat in der Version 9 seinen FTP Daemon geändert.

Gibt es eine Möglichkeit das Verhalten beim proftpd zu erzwingen (Newline after Port Comand).

Gruß

Peter Rexa

P.S.: Als Workaround habe ich auf unserer FW einen Trasparenten Proxie aktiviert der sich an die Standarts hält.

[Wörsty]

1. Benutzt du den inetd-Mode? Wenn ja, nimm mal aus der inetd.conf die "6" hinter "tcp6" raus.
2. Versuch mal "AllowForeignAddress on" in der proftpd.conf

Ansonsten  :?!

[peter rexa]

Hallo,

ich glaube nicht das diese Änderungen etwas bewirken aber ich werde es prüfen.

Um das Problem etwas genauer zu spezifiezieren:

Die FW CheckPoint NG prüft nicht nur die verwendung der korrekten Ports sondern sie untersucht auch den FTP Datenstrom.

Wenn der Server an den Client ein Port Kommando schickt so prüft die FW ob unmittelbar hinter dem Port Kommando einabschließendes Newline Zeichen folgt (verhindern von Buffer Overflows) wie in den neuren RFC gefordert.

Bei den BSD Style Port Kommandos folgen vor dem Newline glaube ich noch einge Leerzeichen (WUftpd). Diese Leerzeichen führen dazu das sich der user zwar anmelden kann aber keine Datenverbindung zustande kommt da die Port Kommandos von der FW geblockt werden.

Gruß

Peter Rexa