 |
|
|
|
| Autor |
Nachricht |
ElPatron
Anmeldungsdatum: 06.02.2006
Beiträge: 23
|
 Verfasst am:
Mo 02 Mai, 2011 17:07 |
  |
|
Moin,
es ist zum verzweifeln, ich erreiche den ftp-Server hinter unserem Router nicht. Port-Forwarding ist aktiverit, Firewall-Regeln lassen eingehenden und ausgehende Pakete in die DMZ zu, aber jeder Verbindungsversuch wird mit einer application violation bestraft:
| Code:
|
Packet's source address is blocked by rule application violation
DstIP: 217.86.153.154, SrcIP: 10.0.0.60, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 25422, SrcPort: 21, Flags: SA
Seq: 3225162889, Ack: 3155357935, Win: 65535, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: NOP
Option: SACK permitted
|
Die Anwendungseinstellungen habe ich wie folgt gesetzt:
| Code:
|
/Setup/IP-Router/Firewall/Applications/FTP
> ls
FTP-Block VALUE: off
Active-FTP-Block VALUE: off
Min-Port VALUE: 1024
Check-Host-IP VALUE: off
FXP-Block VALUE: off
|
Hat jemand einen Tipp dazu?
Danke und Gruß,
Markus |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mo 02 Mai, 2011 18:49 |
|
|
Hi ElPatron
da hast du dir offenbar selbst ein Bein gestellt, indem du als Aktion bei den Applikationen die Absenderadresse gesperrt hast (=> "Packet's source address is blocked"). Zum Thema IP-Adressen oder Ports bei Angriffen sperren kann ich immer nur sagen, daß soetwas einen DoS-Angriff überhaupt erst möglich macht - auch wenn die selbst ernannten Experten von Computer-Bild & Co das gerne anders sehen...
Hier solltest du als erstes diese Sperre rausnehmen und dann im Firewall-Trace schauen, weshalb die Firewall ursprünglich mal zugeschlagen hat. Vorher mußt du natürlich die Host-Block-Liste löschen (unter /Status/IP-Router/Host-Block-List). Da du alle Optionen, bis auf den Min-Port deaktiviert hast, dürfte der Server einen Port unterhalb von 1024 für die Datensession ausgewählt haben, was aus gutem Grund abgeblockt wird...
Gruß
Backslash |
|
|
|
|
ElPatron
Anmeldungsdatum: 06.02.2006
Beiträge: 23
|
| Verfasst am:
Di 03 Mai, 2011 09:25 |
|
|
Hi Backslash,
Danke für den Tipp, es lag wohl am Min-Port (jetzt 21) und der Tatsache, dass meine Testgegenstelle noch in der Block-List stand (ok, da hätte ich auch mal selbst drauf kommen können!).
Vielen Dank nochmal,
Markus |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Di 03 Mai, 2011 11:35 |
|
|
Hi ElPatron
| Zitat:
|
|
es lag wohl am Min-Port (jetzt 21)
|
also ganz ehrlich: Statt den Min-Port im LANCOM runterzusetzen, solltest du eher den FTP-Server so konfigurieren, daß er im Passive-Mode keine Ports unterhalb von 1024 für die Datensession auswählt - i.A. ist das bei FTP-Servern standardmäßig so eingestellt...
Die Defaulteinstellungen in der Firewall des LANCOMs für FTP sind so gewählt, daß sie mit jedem (korrekt arbeitenden) FTP-Server "out of the box" zusammenarbeiten und "nur" den Site-To-Site-Transfer (FXP) über das Internet unterbinden. Wenn deinServer damit ein Problem hat, dann solltest du den Server austauschen, statt die Firewall abzuschwächen...
Gruß
Backslash |
|
|
|
|
ElPatron
Anmeldungsdatum: 06.02.2006
Beiträge: 23
|
| Verfasst am:
Di 03 Mai, 2011 11:54 |
|
|
Moin Backslash,
mein ftp-Server benutzt Ports > 5000 für den passive mode. Ich gebe dann mal offen zu, dass sich mir der Sinn der Min-Port Einstellung vorher nicht gänzlich erschlossen hat.
Kleiner Hinweis an mitlesende Lancom Mitarbeiter: Die Hilfeseite im Lanconfig finde ich zu dem Thema eher verwirrend (immerhin ist etwas zu dem Thema hinterlegt) und das Handbuch schweigt sich zu dem Thema gänzlich aus. Auch der offizelle Knowledgebase Artikel zu dem Thema ist nicht sehr hilfreich. - Danke für die Aufklärung, Backslash.
Hab den Port jetzt auf 5000 gesetzt und es funktioniert (immer noch). Also scheiterten meine gestrigen Versuche an der Tatsache, dass meine Gegenstelle noch in der Blocklist stand.
Viele Grüße,
Markus |
|
|
|
|
JanItor
Anmeldungsdatum: 20.12.2010
Beiträge: 36
|
| Verfasst am:
Di 27 März, 2012 11:35 |
|
|
Ich hänge mich mal hier an.
Habe ein ähnliches Problem. Application Violation bei FTP Verbindungen über Port 21. FTPES über Port 990 funktioniert!
Der FTP Server nimmt die eingehende Verbindung an und antwortet. Die Antwort bleibt dann in der FW hängen. Ich bin bis jetzt nicht dahinter gestiegen warum das so ist.
FW-Fehlermeldung :
| Zitat:
|
|
03-27-2012 11:09:35 Local3.Info [ROUTER] PACKET_INFO: filter info: FTP: bad host address [FTP_CLIENT] requested from [FTP_SERVER] - not allowed on default route
|
Kann jemand helfen? |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Di 27 März, 2012 12:07 |
|
|
Hi JanItor
hier fordert der Server - offenbar in der PASV-Antwort - die Firewall auf, eine Session an die IP des Clients zu öffnen (wenn deinen Angaben zu den IP-Adressen korrekt sind), was er natürlich nicht darf! Er darf nur seine eigene Adresse anfordern!
Du kannst die Adreßprüfung zwar unter Firewall/QoS -> Applikationen -> Applikation - FTP -> Stations-IP-Adresse prüfen abschalten, ich würde dir davon aus Sicherheitsgründen aber dingendst abraten...
BTW: daß FTPS/FTPES funktioniert ist klar - das ist schließlich verschlüsselt, weshalb die Firewall da nicht reinschauen kann....
Gruß
Backslash |
|
|
|
|
JanItor
Anmeldungsdatum: 20.12.2010
Beiträge: 36
|
| Verfasst am:
Di 27 März, 2012 14:10 |
|
|
Hallo backslash,
es lag tatsächlich an des PASV Einstellungen im Filezilla. Hatte hier eine Abfrage bezüglich der dyn. IP eingebaut. Hab es jetzt auf default zurück gestellt.
Danke. |
|
|
|
|
|
|
|
|
| |
|
|
