Liebe Community
Wie muss eine Firewall-Regel für den Zugriff eines Hosts im lokalen Netzwerk auf einen externen Server via ftps-Protokoll (explizites FTP über TLS) auf einem LC-1906VA / LC-1926VAG / LC-1900EF konfiguriert werden?
Vielleicht kann mir jemand von Euch "auf die Sprünge" helfen.
Herzliche Grüße
Eric
Firewall - Regel für ftps - Protokoll
Moderator: Lancom-Systems Moderatoren
Re: Firewall - Regel für ftps - Protokoll
Hallo Eric,
grundsätzlich läuft FTP über TLS anfangs nicht anders, als normales FTP, also TCP Port 21.
Somit:
Aktionen: ACCEPT
Quelle: IP-Adresse des Hosts im lokalen Netzwerk (ggf. auch MAC-Adresse)
Ziel: IP-Adresse des FTP-Servers
Ziel-Dienste: FTP (TCP Port 21)
Viele Grüße
Jirka
grundsätzlich läuft FTP über TLS anfangs nicht anders, als normales FTP, also TCP Port 21.
Somit:
Aktionen: ACCEPT
Quelle: IP-Adresse des Hosts im lokalen Netzwerk (ggf. auch MAC-Adresse)
Ziel: IP-Adresse des FTP-Servers
Ziel-Dienste: FTP (TCP Port 21)
Viele Grüße
Jirka
Re: Firewall - Regel für ftps - Protokoll
Ganz so einfach wird es eher nicht sein. FTP braucht ja auch die Datenverbindungen. Diese Ports werden ja leider dynamisch ausgehandelt und im Gegensatz zu unverschlüsseltem FTP kann die Firewall hier nicht mithören.
Muss es wirklich ftps sein? Filetransfer over ssh/scp ist keine Option?
Muss es wirklich ftps sein? Filetransfer over ssh/scp ist keine Option?
Re: Firewall - Regel für ftps - Protokoll
Ok, Ziel-Dienst TCP Port 20 muss noch dazu. (FTP – Datenübertragung)
Nachträglich verkleinert, da falsch/nicht ausreichend.
Nachträglich verkleinert, da falsch/nicht ausreichend.
Zuletzt geändert von Jirka am 29 Sep 2025, 23:14, insgesamt 1-mal geändert.
Re: Firewall - Regel für ftps - Protokoll
Hi tobiasr
zumindest, wenn der Client den Port 21 nutzt, dann sollte er den Explizit-Mode verwenden und die Firewall kann das PORT-Kommando mitlesen
Wenn der Client (und somit auch der Server) hingegen den impliziten Mode nutzt, dann lauscht der Server auf 990 und der Datenkanal nutzt Port 989
Gruß
Backslash
jain.... Oft arbeiten FTPS clients so, daß sie die Verschlüssenung für die wichtigen Kommandos (PORT/PASV) abschalten und danach wieder aktivieren (STOPTLS/STARTTLS), so daß Firewalls mitlesen können - siehe auch https://en.wikipedia.org/wiki/FTPS ("Explicit").Diese Ports werden ja leider dynamisch ausgehandelt und im Gegensatz zu unverschlüsseltem FTP kann die Firewall hier nicht mithören.
zumindest, wenn der Client den Port 21 nutzt, dann sollte er den Explizit-Mode verwenden und die Firewall kann das PORT-Kommando mitlesen
Wenn der Client (und somit auch der Server) hingegen den impliziten Mode nutzt, dann lauscht der Server auf 990 und der Datenkanal nutzt Port 989
Gruß
Backslash
Re: Firewall - Regel für ftps - Protokoll
Danke, Backslash. Aber was heißt das nun konkret? Bedarf es nur der Freischaltung des Ports 21 TCP, mein erster Beitrag hier? Oder muss auch noch Port 20 TCP freigegeben werden, mein zweiter Beitrag?
Um es vorwegzunehmen: Ich habe es mit dem LANCOM-FTP getestet. Der lässt ja seit Jahren nur noch TLS zu. Dazu FileZilla (Übertragungsmodus: Standard, was den Übertragungsmodus Aktiv zur Folge hat). Port 21 alleine reichte nicht aus (weder aktiv noch passiv), ich musste auch Port 20 zulassen, damit es funktionierte. Kannst Du das jetzt noch mal in Deine Erklärung mit einbeziehen, so dass man konkret versteht, wie es sich nun verhält? Ich verstehe es jedenfalls bisher nicht so ganz, was Du geschrieben hast. Danke Dir!!!
Um es vorwegzunehmen: Ich habe es mit dem LANCOM-FTP getestet. Der lässt ja seit Jahren nur noch TLS zu. Dazu FileZilla (Übertragungsmodus: Standard, was den Übertragungsmodus Aktiv zur Folge hat). Port 21 alleine reichte nicht aus (weder aktiv noch passiv), ich musste auch Port 20 zulassen, damit es funktionierte. Kannst Du das jetzt noch mal in Deine Erklärung mit einbeziehen, so dass man konkret versteht, wie es sich nun verhält? Ich verstehe es jedenfalls bisher nicht so ganz, was Du geschrieben hast. Danke Dir!!!
Re: Firewall - Regel für ftps - Protokoll
Hi Jirka,
am Ende hängt das vermutlich vom Client ab... ob er die Kontrollsession für das PORT/PASV-Kommando zurückstellt auf Klartext..
Laut Wikipedia sollte ein Client der auf Port 21 arbeitet das machen - er ist aber offenbar nicht dazu gezwungen.
vermutlich ist das implizite FTPS (also das über Port 990/989) so wenig verbreitet, daß es niemand nutzt und stattdessen im schlimmsten Fall auch dafür Port 21/20 verwendet wird.
Gruß
Backslash
am Ende hängt das vermutlich vom Client ab... ob er die Kontrollsession für das PORT/PASV-Kommando zurückstellt auf Klartext..
Laut Wikipedia sollte ein Client der auf Port 21 arbeitet das machen - er ist aber offenbar nicht dazu gezwungen.
vermutlich ist das implizite FTPS (also das über Port 990/989) so wenig verbreitet, daß es niemand nutzt und stattdessen im schlimmsten Fall auch dafür Port 21/20 verwendet wird.
Gruß
Backslash
Re: Firewall - Regel für ftps - Protokoll
Hallo noch mal,
so, ich habe mir das eben nochmal angeschaut. Es ist nicht so einfach. Port 21 alleine reicht definitiv nicht, das war ja soweit auch schon klar. Aber mit Port 20 tut es das auch nicht, keine Ahnung, was da heute Mittag war, vermutlich war noch ein Port/eine Session offen, jetzt ging das jedenfalls nicht. Ich habe mir das ausführlich angeschaut in Wireshark - und FTPS ist ist geradezu Firewall-unfreundlich (jedenfalls hinter einem NAT-Router).
Letztlich kommen zwei Varianten in Frage, um konkret die Frage zu beantworten:
Variante 2 (konkret): Sofern es sich um einen oder einige wenige ganz konkrete FTP-Server handelt, sollten die IP-Adressen oder DNS-Namen der Server für Port 21 und den Port-Bereich (Port-Range) für den Passive-Mode freigegeben werden (jeweils TCP). Den Port-Bereich für den Passive-Mode kann man beim Server-Betreiber erfragen oder aber durch Tests eingrenzen.
Das implizite FTPS (über Port 990) ist wohl bedeutungslos und veraltet.
Allgemein (irgendwelche) FTP-Server für FTPS in der Firewall freizugeben, ist offensichtlich nicht möglich, man müsste halt, wie oben ja schon in Variante 1 zu sehen, einen großen Portbereich freigeben ohne Einschränkung auf konkrete Ziel-IPs.
Wie tobiasr schon schreibt, ist FTPS wohl mittlerweile auch eine Altlast. Und SFTP wäre besser. Aber funktioniert es? Im Falle des LANCOM-FTP schon mal leider nein. Und so hält sich manches leidige Protokoll offenbar länger, als manch einem lieb ist.
Viele Grüße
Jirka
so, ich habe mir das eben nochmal angeschaut. Es ist nicht so einfach. Port 21 alleine reicht definitiv nicht, das war ja soweit auch schon klar. Aber mit Port 20 tut es das auch nicht, keine Ahnung, was da heute Mittag war, vermutlich war noch ein Port/eine Session offen, jetzt ging das jedenfalls nicht. Ich habe mir das ausführlich angeschaut in Wireshark - und FTPS ist ist geradezu Firewall-unfreundlich (jedenfalls hinter einem NAT-Router).
Letztlich kommen zwei Varianten in Frage, um konkret die Frage zu beantworten:
Variante 1 (pauschal): Sofern es sich um einen oder eine gute Handvoll ganz konkreter FTP-Server handelt, sollten die IP-Adressen oder DNS-Namen der Server komplett oder für Port 21 und den Bereich von 50.000 (ggf. auch schon ab 5.000) bis 65.536 freigegeben werden (jeweils TCP).saigolae hat geschrieben: 27 Sep 2025, 18:31 für den Zugriff eines Hosts im lokalen Netzwerk auf einen externen Server
Variante 2 (konkret): Sofern es sich um einen oder einige wenige ganz konkrete FTP-Server handelt, sollten die IP-Adressen oder DNS-Namen der Server für Port 21 und den Port-Bereich (Port-Range) für den Passive-Mode freigegeben werden (jeweils TCP). Den Port-Bereich für den Passive-Mode kann man beim Server-Betreiber erfragen oder aber durch Tests eingrenzen.
Das implizite FTPS (über Port 990) ist wohl bedeutungslos und veraltet.
Allgemein (irgendwelche) FTP-Server für FTPS in der Firewall freizugeben, ist offensichtlich nicht möglich, man müsste halt, wie oben ja schon in Variante 1 zu sehen, einen großen Portbereich freigeben ohne Einschränkung auf konkrete Ziel-IPs.
Wie tobiasr schon schreibt, ist FTPS wohl mittlerweile auch eine Altlast. Und SFTP wäre besser. Aber funktioniert es? Im Falle des LANCOM-FTP schon mal leider nein. Und so hält sich manches leidige Protokoll offenbar länger, als manch einem lieb ist.
Viele Grüße
Jirka