Wie Verbindung zu einem FTPS Server außerhalb des Netzwerks aufbauen

[Layer8]

Bei FTP lauscht ein NAT auf der Control Connection mit, um die PORT Kommandos abzufangen und auch im Active Mode dynamisch die Ports zu öffnen. Das geht bei FTPS nicht, weil die Control Connection verschlüsselt ist.

https://www.rfc-editor.org/rfc/rfc2663

IMHO behandelt NAT nicht die Controleplane von FTP oder wertet diese aus. Die FTP-Commands spielen sich nämlich in der Applikationsebene ab und die wird für NAT IMHO nicht benötigt. Der NAT RFC beschreibt auch nicht wie diese Informationen gehandelt werden sollen, sondern geht nur auf die Problematik von FTP hinter NAT ein.

Wenn ein Router oder Firewall doch die Controleplane von FTP auswertet (Auswertung des Application Layers), dann ist das eine zusätzliche Implementierung vom Hersteller, hat aber nix mit NAT an sich zu tun.

Passive Mode klingt aus Client-Sicht erstmal gut, aber was, wenn der Server ebenfalls hinter einer NAT Firewall sitzt?

Das ist aber ein allgemeines "Server befindet sich hinter NAT"-Problem und kann auf so ziemlich jedes Protokoll angewendet werden. Da hilft auch bei anderen Protokollen nur ein Portforward, Loadbalancing oder ähnliches.

Ein guter FTP Server kennt seine WAN-IP auch hinter NAT. Und die ganz guten kennen sogar immer die aktuelle WAN-IP an Anschlüssen mit dynamischer IP. Das war schon so, bevor man angefangen hat FTP mit SSL oder TLS abzusichern.


FTP ist nicht kaputter als es schon immer war. Man muss es nur richtig hinter NAT konfigurieren.