|
Titel: proftp und checkpoint fw-1 NG Problem Beitrag von: peter rexa am 13. November 2003, 15:10:29 Hallo,
wir haben einen proftpd 1.2.8 server aufgesetzt. User hinter einer CheckPoint NG Firewall können auf den Server nicht zugreifen. Da die FW das Port Kommando als nicht RFC konform ablehnt. Dieses Verhalten ist ein bekanntes Problem mit BSD Style Port Kommandos. Sun hat in der Version 9 seinen FTP Daemon geändert. Gibt es eine Möglichkeit das Verhalten beim proftpd zu erzwingen (Newline after Port Comand). Gruß Peter Rexa P.S.: Als Workaround habe ich auf unserer FW einen Trasparenten Proxie aktiviert der sich an die Standarts hält. Titel: proftp und checkpoint fw-1 NG Problem Beitrag von: Wörsty am 13. November 2003, 15:25:03 1. Benutzt du den inetd-Mode? Wenn ja, nimm mal aus der inetd.conf die "6" hinter "tcp6" raus.
2. Versuch mal "AllowForeignAddress on" in der proftpd.conf Ansonsten :?! Titel: Das port prtoblem im detail Beitrag von: peter rexa am 13. November 2003, 16:34:42 Hallo,
ich glaube nicht das diese Änderungen etwas bewirken aber ich werde es prüfen. Um das Problem etwas genauer zu spezifiezieren: Die FW CheckPoint NG prüft nicht nur die verwendung der korrekten Ports sondern sie untersucht auch den FTP Datenstrom. Wenn der Server an den Client ein Port Kommando schickt so prüft die FW ob unmittelbar hinter dem Port Kommando einabschließendes Newline Zeichen folgt (verhindern von Buffer Overflows) wie in den neuren RFC gefordert. Bei den BSD Style Port Kommandos folgen vor dem Newline glaube ich noch einge Leerzeichen (WUftpd). Diese Leerzeichen führen dazu das sich der user zwar anmelden kann aber keine Datenverbindung zustande kommt da die Port Kommandos von der FW geblockt werden. :( Gruß Peter Rexa |