 |
|
|
|
| Autor |
Nachricht |
Oliver
Anmeldungsdatum: 20.10.2008
Beiträge: 45
|
 Verfasst am:
Mo 10 Aug, 2009 16:42 |
  |
|
Hallo!
Ich hab für ein SMTP Relay und einen FTP Server entsprechende Regeln erstellt. Jedoch bekomme ich manchmal diese Ausgabe:
Es gibt zb. für FTP 2 Regeln:
FTPSERVER_INBOUND Alle:Alle zu ftp-server:21
FTPSERVER_OUTBOUND ftp-server:21 zu Alle:Alle
Unter "FW/QoS > Applikationen > Applikation FTP" ist "Auf jede FTP-Session reagieren:" "immer" gewählt!
Was kann hier das Problem sein?
Danke! |
| Beschreibung: |
|
| Dateigröße: |
6.62 KB |
| Angeschaut: |
12289 mal |
|
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mo 10 Aug, 2009 17:03 |
|
|
Hi Oliver
| Zitat:
|
Unter "FW/QoS > Applikationen > Applikation FTP" ist "Auf jede FTP-Session reagieren:" "immer" gewählt!
Was kann hier das Problem sein?
|
Genau das ist das Problem... Du verbietest damit explizit FTP, d.h. jeder Versuch auf den FTP-Server zuzugreifen wird geblockt...
Das Ganze ist im LANconfig unglücklich benannt - im Telnet wird es etwas deutlicher, denn dort heissen die Punkte:
| Code:
|
FTP-Block VALUE: off
Active-FTP-Block VALUE: off
Min-Port VALUE: 1024
Check-Host-IP VALUE: default-route
FXP-Block VALUE: default-route
|
Gruß
Backslash |
|
|
|
|
|
Oliver
Anmeldungsdatum: 20.10.2008
Beiträge: 45
|
| Verfasst am:
Di 11 Aug, 2009 11:18 |
|
|
Alles klar!
Ich dachte eine Firewall muss auf FTP Sessions dynamisch reagieren, weil ein zweiter Port für die Datenübertragung aufgebaut wird und darauf bezieht sich das "darauf reagieren".
Vielen Dank wieder einmal! |
|
|
|
|
|
sandorfi
Anmeldungsdatum: 28.08.2008
Beiträge: 13
|
| Verfasst am:
Mi 15 Sep, 2010 10:24 |
|
|
Hallo Oliver, hallo backslash,
ich muss das Thema leider nochmals aufwärmen, denn ich habe das gleiche Problem bezüglich des FTP-Dienstes (application violation), seit ich für den passiven Modus die externe IP verwende.
"Auf jede FTP-Session reagieren" habe ich auf "Nein" stehen und Paket-Aktion ist übertragen. Das ganze funktioniert demnach zur Zeit, nur logge ich eben imme diese "application violation". Habe ich hier auch noch einen Denkfehler, oder wie genau arbeitet die Funktion?
Gruß
Simon |
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 15 Sep, 2010 12:26 |
|
|
Hi sandorfi
| Zitat:
|
|
seit ich für den passiven Modus die externe IP verwende.
|
genau das dürfte das Problem sein... Du hast vermutlich "Stations-IP-Adresse prüfen" auf dem Defaultwert "Nur für Defaultroute" gelassen. Wenn du nun im FTP -Server für den Passiv-Modus die externe IP-Adresse einträgst, dann schlägt genau diese Adreßprüfung zu... Das LANCOM kann in der Maskierung problemlos mit serverseitigem passivem FTP umgehen und benötigt daher keine NAT-Helper, die dem FTP-Server die öffentliche IP mitteilen. Nimm das einfach heraus und die Meldung wird verschwinden...
Gruß
Backslash |
|
|
|
|
|
sandorfi
Anmeldungsdatum: 28.08.2008
Beiträge: 13
|
| Verfasst am:
Do 16 Sep, 2010 10:05 |
|
|
|
|
|
|
|
|
|
| |
|
|
