OPNsense Forum
International Forums => German - Deutsch => Topic started by: forum-account-223 on November 15, 2021, 12:51:13 pm
-
Hello,
es ist eine OPEN SENSE vorhanden ohne kompliziertes Policy-Regelwerk.
Ausgehender ist traffic nicht reglementiert.
Der Server 2008 R2 nutzt eine Desktop-FTP Batchdatei um gelegentlich XMLs auf einen entfernten FTP Server hochzuladen.
Das klappt nach einer OPEN SENSE Neu-Installation nicht mehr.
Es kommt immer "Verbindung beendet durch Remotehost" im CMD wenn man ftp.exe "praktiziert"
Es klappt jedoch bei einem anderen 2008er R2 Testserver (der ist an einem ganz anderen Standort und hat auch andere Firewall)
Das ftp.exe ein Sonderbedarf wegen Passivmode o.ä. hat ist mir bekannt, habe das ggf. noch nicht 100% begriffen.
Frage: wäre denkbar das an der OPEN SENSE noch etwas zu tun ist?
Auszug Fehlersituation:
Domainfactory ftp.exe:
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.
C:\Users\Administrator>ftp
ftp> open ftp.xxxx.de
Verbindung mit ftp.xxxxx.de wurde hergestellt.
220---------- Welcome to Pure-FTPd [privsep] [TLS]
220-Local time is now 17:10. Server port: 21.
220-IPv6 connections are also welcome on this server.
220 You will be disconnected after 30 minutes of inactivity.
Benutzer (ftp.xxxxxx.de:( face-sadnone)): 1xxxxx-test
331 User 1xxxxxxx-test OK. Password required
Kennwort:
230 OK. Current restricted directory is /
ftp> binary
200 TYPE is now 8-bit binary
ftp> put C:\Users\Administrator\Desktop\test.xml
Verbindung beendet durch Remotehost.
ftp>
+++++
1und1 ftp.exe
C:\Users\Administrator>ftp
ftp> open homexxxxxxx.1and1-data.host
Verbindung mit homexxxxx.1and1-data.host wurde hergestellt.
220 FTP Server ready.
Benutzer (homexxxxxx.1and1-data.host:( face-sadnone)): uxxx-xxxxxxx
331 Password required for xxxxxxxxxxxx
Kennwort:
230 User uxxxxxxxxxxx logged in
ftp> lcd \\192.168.10.1\b1_shr\xxx\OUT
Lokales Verzeichnis jetzt \\192.168.10.1\b1_shr\xxxx\OUT
ftp> cd "Outgoing"
250 CWD command successful
ftp> put C:\Users\Administrator\Desktop\test.xml
Verbindung beendet durch Remotehost.
ftp>
-
Du musst wahrscheinlich den Passive Mode benutzen, das kann ftp.exe aber nicht.
Entweder Du setzt auf der OPNSense den FTP-Proxy auf, oder Du besorgst Dir für den Windows-Rechner einen anderen Client wie z.B. WinSCP oder Filezilla.
-
Hi,
a)
in diesem Thread ist zu sehen wie man "scheinbar/angeblich" bei ftp.exe den passiv-modus "aktiviert"
https://administrator.de/forum/ftp-empfaengt-keine-dateien-mehr-via-windows-ftp-exe-300907.html
Das ist jedoch etwas zweideutig und habe ich noch nicht ausführlich getestet.
b)
Unter inetcpl.cpl gibt es wohl ein Häkchen dazu, das ist schon aktiviert.
c)
was meinst du hätte der Open Sense FTP Proxy für "Vorteile" ?
FTP Proxy als ausgehende erlaubende Policy = du meinst das Port 20,21 deshalb dann "definiert" von der "Open Sense FTP Proxy Funktion" profitieren würden und es dadurch gehen könnte?
Die OPEN SENSE wurde neulich neu-aufgesetzt (seit dem geht ftp.exe nicht)
Ich glaube die alte Konfig war irrtümlich nicht da, das könnte natürlich sein das FTP Proxy "sein muss"
-
Der FTP-Proxy kann die FTP "PORT" Kommandos mitlauschen und dann eingehend die entsprechenden Ports öffnen/forwarden. Man kann den wohl transparent aufsetzen. Ich benutz den nicht und verweise daher auf die Doku.
Das ist aber fundamental bei FTP so. Wenn Du nur NAT machst, musst Du Passive Mode verwenden. Willst/kannst Du das nicht, muss die Firewall verstehen, was FTP ist und dynamisch auf die Verbindungen reagieren. Meist macht das eben ein Proxy.
-
Ja, da muss man einfach nur den 21er Port umleiten.
Wo du Unrecht hast ist, dass so ein Proxy normal ist. Das ist bei pf so. Im netfilter Projekt (Linux Firewall) ist im conntrack ein Filter drin, der die data connection als related markiert.
https://github.com/torvalds/linux/blob/master/net/netfilter/nf_conntrack_ftp.c#L76
Kommt dann aber effektiv auf das Gleiche raus.