graogramar666 10 Geschrieben 6. Februar 2008 Melden Teilen Geschrieben 6. Februar 2008 Hi Folks. wir betreiben einen Windows 2003 Small Buisiness Server Standard mit 2 Netzwerkkarten und NAT mit eingschalteter Basisfirewall. Im Routing und RAS Konfigurationsmanaer ist die externe Schnittsteklle mit eingehenden und ausgehenden Filtern versehen um Dienste wie Internet, E-Mail, etc. und auch FTP zu gewährleisten. Für FTP wurden als eingehende Filter TCP mit Quellports 20 und 21 (Quellnetzwerk, Zielnetzwerk und Zielports beliebig) und als ausgehende Filter TCP mit Zielports 20 und 21 (Quellnetzwerk, Zielnetzwerk und Quellports beliebig) geöffnet. Wir benutzen den FTP Client FileZilla im aktiven Modus. Der Zugriff auf eine FTP-Seite hängt bei dem Versuch, die Verzeichnisstruktur abzurufen (LIST Befehl). Der Login funktioniert vorher aber. Schalten wir die Basisfirewall aus, werden die Verzeichnisse gelistet, es ist aber kein Upload möglich (nur download von der Seite), auch bei bestehenden Userrechten. Auch mit dem Internet Explorer (passives FTP aus) ist kein Zugriff auf FTP-Seiten möglich. VPN und WWW funktioniert zum Beispiel tadellos. Mit unserem alten Server (Windows 2003 Enterprise, gleiche Einstellungen beim NAT und Routing und Filezilla Client) funktioniert es einwandfrei. Hat jemand eine Idee, was man bei dem neuen Server tun müßte um FTP mit NAT und Basisfirewall zum laufen zu bekommen? Vielleicht irgendwelche versteckten Einstellungen die man mit dem alten Server abgleichen könnte. Vielen Dank im Vorraus. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. Februar 2008 Melden Teilen Geschrieben 6. Februar 2008 Wofür benutzt Du die Filter ? Um interne Clients internetmässig einzuschränken und/oder den Zugriff von aussen nach innen einzuschränken ? Man benötigt keine Filter, um den Internetzugang zu ermöglichen (habe ich aber wahrscheinlich falsch verstanden). Und warum eingehende Filter auf der NAT-Schnittstelle ? Eigentlich werden auf NAT-Maschinen gar keine statischen Filter gesetzt, ich weiss jetzt aber auch nicht, was Du damit erreichen willst ... Routing and Remote Access Blog : RRAS static packet filters - do's and don'ts Funktioniert der Zugriff mit abgeschalteten Filtern aber eingeschalteter Basisfirewall ? Wenn Du dann die internen Clients einschränken möchtest, konfiguriere erstmal nur ausgehende Filter auf der externen Schnittstelle und teste. Ich nehme mal an, Du hast einen VPN-Server laufen und deswegen sind VPN-Filter aktiv ?! Und genau das ist der Grund, warum Du weitere Filter setzen musst ?! Benutzt Du den RRAS-Assistenten und wählst nur RAS/VPN aus, gibt der Assistent Dir die Möglichkeit, statische Filter zu setzen. Wählst Du allerdings NAT/VPN aus, wird nur die Basisfirewall angeboten, statische Filter dagegen nicht (es ist ein "Don´t" auf einem NAT-Router statische Filter einzusetzen). Ist aber auch nicht notwendig, weil die Basisfirewall alle Anfragen von aussen verwirft und zudem noch stateful ist, im Gegensatz zu den Paketfiltern. Um auf den VPN-Server zugreifen zu können, werden Redirections eingerichtet und nur diese Redirections machen die Ports des VPN-Servers überhaupt erreichbar (den Rest blockt die Basisfirewall mit Ausnahme der Antworten der von innen initiierten Verbindungen, FTP eingeschlossen, auch aktives FTP). Der 2003 Server stellt den sogenannten "Gatewaydienst auf Anwendungsebene" zur Verfügung und ebenso ein Application Layer Gateway FTP Plugin, welches ermöglicht, dass aktives FTP durch das von Windows zur Verfügung gestellte NAT funktioniert. Läuft dieser Dienst nicht, kommt es auch zu der von Dir beschriebenen Symptomatik mit aktivem FTP. Für passives FTP sind Deine Filter falsch. Eventuell hast Du die Filterkonfiguration hier her, was aber nur für 2000 gilt, da es dort noch keine Basisfirewall gab ... Konfiguration von Eingabefiltern für Dienste, die hinter der Netzwerkadressübersetzung laufen Ich würde Dir also empfehlen, nur die Basisfirewall laufen zu lassen, keine eingehenden Filter und wenn Deine Clients eingeschränkt werden sollen, eben nur entsprechende ausgehende Filter auf der externen Schnittstelle ... Zitieren Link zu diesem Kommentar
graogramar666 10 Geschrieben 7. Februar 2008 Autor Melden Teilen Geschrieben 7. Februar 2008 Vielen Dank schon mal für die Antwort. Wir sind nun ein gutes Stück weitergekommen. Bei ausgeschalteten statischen Filtern und eingeschalteter Basisfirewall funktioniert zumindest das passive ftp. Ganz ohne Schutz soll das ganze ja nicht sein, also muss die Basisfirewall angeschaltet bleiben. Hast du noch eine Idee woran es nun liegen kann, das active ftp nicht funktioniert (wird leider von einigen Seiten verlangt). Der ALG Dienst läuft übrigens (alg.exe). Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Februar 2008 Melden Teilen Geschrieben 7. Februar 2008 Auch vom Server nicht ? Was genau passiert (benutze mal den Kommandozeilen FTP-Client von Microsoft) ? Zitieren Link zu diesem Kommentar
graogramar666 10 Geschrieben 7. Februar 2008 Autor Melden Teilen Geschrieben 7. Februar 2008 Auch auf dem Server funktioniert der aktive modus mit filezilla nicht (nur passiv). Mit dem Kommandozeilen ftp kann man sich zwar mit dem Server verbinden (wie auch im active filezilla) aber der List befehl schlägt fehl Ausgabe nach 'ls': 200 Port command succesfully danach hänger. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. Februar 2008 Melden Teilen Geschrieben 7. Februar 2008 Deaktiviere den RRAS nochmal und führe danach den Assistenten aus (NAT/VPN) ... Zitieren Link zu diesem Kommentar
graogramar666 10 Geschrieben 14. Februar 2008 Autor Melden Teilen Geschrieben 14. Februar 2008 Hallo nochmal. Danke für die Antwort. Habe nun endlich Zeit gefunden deinen Vorschlag zu behandeln. Allerdings hat es nicht funktioniert. FTP verweigert nach wie vor den aktiven Dienst. Hast du eventuell noch eine Idee? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. Februar 2008 Melden Teilen Geschrieben 15. Februar 2008 Welchen Vorschlag meinst ? RRAS erneut konfiguriert ? Läuft da eigentlich auch noch eine andere Firewall auf dem Server ? Oder Filter auf einem eventuell davor stehenden Router ? Wenn ein Router vorhanden ist: Kannst Du ohne Beteiligung des RRAS (also direkt am Router angeschlossen) aktives FTP machen ? Zitieren Link zu diesem Kommentar
graogramar666 10 Geschrieben 18. Februar 2008 Autor Melden Teilen Geschrieben 18. Februar 2008 Hallo nochmal. Ich hatte den RRAS Dienst beendet und neu konfiguriert. Das hattenicht geholfen. Es gibt keine weiteren Firewalls oder Routerfilter. Wie gesagt, mit dem alten Server (Windows 2003 Enterprise) geht es ja. Also muss das Problem beim neuen Server (Windows 2003 SBS) liegen. Beim neu konfigurieren von RRAS habe ich übrigens sowohl den Wizzard in der Serververwaltung als auch den Wizzard, der direkt im Routing/RAS zu finden ist, ausprobiert. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. März 2008 Melden Teilen Geschrieben 17. März 2008 Obwohl dieser Thread schon ein wenig älter ist ... Eventuell dieses Problem ? https://www.mcseboard.de/tipps-links-5/microsoft-deaktiviert-rss-toe-scalable-networking-pack-per-131231.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.