|
Titel: proftp TLS und die Firewall Beitrag von: maly am 17. August 2006, 14:27:05 Hallo zusammen!!!
Das Problem mit dem ich mich seit zwei Tagen beschäftige, ist der Aufbau einer sicheren Verbindung mit meinen in der DMZ stehenden FTP Server. Als Firewall benutze ich den IPCop. Eine unsichere Verbindung ist sowohl aus dem LAN als auch von extern durchführbar. Bis jetzt ist es mir gelungen eine sichere Verbindung nur vom LAN aufzubauen, d.h. vom 192.168.1.50 auf 192.168.5.50. Diese funktioniert problemlos. Sobald ich mich aber von extern anmelden möchte, führt der Server zwar die Authentifizierung durch, jedoch bleibt er beim LIST hängen und zeigt den Inhalt des FTP-Verzeichnisses nicht an. Meine Vermutung ist, dass es an den Firewallregeln liegt. Bis jetzt habe ich bereits unzählige Dosc etc. gelesen, ohne irgendetwas Brauchbares gefunden zu haben. Ich hoffe Ihr habt einige Tipps für mich?! VIELEN DANK im Voraus! Gruß maly Titel: Re: proftp TLS und die Firewall Beitrag von: VolGas am 17. August 2006, 15:15:09 Hallo,
ich mußt Dir leider sagen, daß Du Dich an ein sehr schwieriges Thema herangewagt hast. Bei Dir greifen mehrere Probleme (und Fehler) zusammen:
Sorry, aber ein Serverdienst ist eine Sache, die man mit einem heimischen DSL-Anschluß nur äußerst schwer und unzuverlässig aufbauen und anbieten kann. Ein Server "verlangt" nunmal ein statisches Umfeld, sprich: eine feste IP. Alles andere... Noch ein Tipp: bevor Du etwas mit TLS versuchst, stelle zuvor immer zuerst einmal sicher, daß es auch ohne geht! mfg. VolGas Titel: Re: proftp TLS und die Firewall Beitrag von: maly am 17. August 2006, 17:49:42 Danke VolGas
In der Tat ist das keine leichte Aufgabe :D, jedenfalls habe ich bis jetzt geschafft den FTP Server ohne TLS ans Laufen zu bringen (ich weiss, ist auch keine Kunst). Ich arbeite mit einer dyn IP und damit auch mit dyndns.org. Was ich allerdings nicht verstehe, warum passen die Zertifikate nicht zueinander. Nichts anders macht man doch bei der Erstellung einer VPN Verbindung (mit Zertifikaten) oder? Das funktioniert bei mir... Bei PassivePorts habe ich 60000 und 63000 genommen und diese auf 20 und 21 auf den DMZ Rechner FTP-Server weitergeleitet. Ist das richtig eigentlich? Die obigen Ports habe ich auch im externen Zugang freigeschaltet... Vielleicht hat noch jemand einen Rat?! MFG maly Titel: Re: proftp TLS und die Firewall Beitrag von: VolGas am 17. August 2006, 21:40:30 Die Ports nicht auf die Ports 20 und 21 "umbiegen", die müssen 1:1 durchgereicht werden!
Bevor Mißverständnisse auftauchen: eine DMZ ist prinzipiell nach außen komplett offen; alle Ports werden 1:1 ohne Überprüfung durchgeleitet. Ein Forwarding jedoch leitet nur einzelne Ports (bzw. ganze Bereiche) weiter. Die Zertifikate sind wie bei einem HTTP-Server mit ihrem Namen an eine IP gebunden, sonst könnte sich jemand dazwischen einklinken und falsche Tatsachen vortäuschen. (man-in-the-middle Problem) Indem man in dem Zertifikat die IP und den DNS-Namen fest hinterlegt, wird dieses damit erst vertrauenswürdig, da bei einer Abfrage überprüft wird, ob der aufgelöste DNS-Name die selbe IP hat wie die Maschine, die antwortet. Stimmt die reale IP und der DNS-Name der antwortenden Maschine nicht mit dem Zertifikat überein, dann ist etwas gewaltig faul. "Man" (die Sotware) muß davon ausgehen, daß die Verbindung bzw. das Zertifikat kompromittiert wurde und damit nicht mehr vertrauenswürdig ist - ganz im Gegenteil! Ich hoffe, ich konnte das verständlich machen. mfg. VolGas Titel: Re: proftp TLS und die Firewall Beitrag von: maly am 18. August 2006, 13:54:11 Danke VolGas für die ausführliche Beschreibung ... wie es aussieht werden ich vorerst auf TLS verzichten müssen...
VG maly |