Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
FTP Proxy - explizietes SSL/TLS
« previous
next »
Print
Pages: [
1
]
Author
Topic: FTP Proxy - explizietes SSL/TLS (Read 2682 times)
lenny
Full Member
Posts: 239
Karma: 5
FTP Proxy - explizietes SSL/TLS
«
on:
August 04, 2020, 10:01:21 am »
Hi,
ich habe einen FTP Proxy auf der Sense, unverschlüsselt funktioniert es auch wunderbar.
Wenn jedoch über Port 21 explizietes SSL/TLS verwendet wird, baut er keine Verbindung auf.
Muss dafür etwas speziell eingerichtet werden?
Danke!
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: FTP Proxy - explizietes SSL/TLS
«
Reply #1 on:
August 04, 2020, 10:40:27 am »
bin mir nicht sicher, aber mit dem ha proxy kannst du es versuchen.
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: FTP Proxy - explizietes SSL/TLS
«
Reply #2 on:
August 04, 2020, 12:14:17 pm »
Der FTP proxy kann kein TLS. Er sieht daher bei verschlüsselten Verbindungen nicht, auf welchen Port die Datenverbindung geht und kann daher die Firewall nicht entsprechend konfigurieren.
Logged
lenny
Full Member
Posts: 239
Karma: 5
Re: FTP Proxy - explizietes SSL/TLS
«
Reply #3 on:
August 05, 2020, 09:28:09 am »
Also keine Chance, verschlüsseltes FTP zu nutzen, wenn man opnSense nutzt?
(horende Portranges freischalten möchte man ja nicht...)
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: FTP Proxy - explizietes SSL/TLS
«
Reply #4 on:
August 05, 2020, 12:33:59 pm »
ne, außer eine IP addresse per 1:1 NAT durchzuleiten oder einen port range auf die maschine weiterzuleiten gibts da kaum eine möglichkeit. Theoretisch könnte man das FreeBSD FTP-Proxy utility so erweitern, dass der auch TLS-MITM kann, dann würde das auch so funktionieren, aber allgemein gibt es da keine Lösung. FTP, SIP (Telefonie) und co gelten nicht umsonst als problematisch mit Firewalls und NAT. Wenn du dich da ein wenig umsiehst, wirst du feststellen, dass das kein OPNsense spezifisches Problem ist.
Generell geht die Entwicklung dazu, FTP wegen der Probleme komplett zu verbannen und gegen SFTP (SSH) und Protokolle auf HTTP-Basis auszutauschen (z. B. WebDAV, REST-APIs). Die alternative: IPv6 und direkt mit dem Server sprechen, dann kannst du dafür defacto eine pass any Regel für den Host machen.
Logged
Patrick M. Hausen
Hero Member
Posts: 6825
Karma: 573
Re: FTP Proxy - explizietes SSL/TLS
«
Reply #5 on:
August 05, 2020, 12:57:40 pm »
FTPS ist sowieso funktional kaputt. Benutz SFTP, wenn Du verschlüsselte Übertragung willst.
Hintergrund: FTPS verschlüsselt die Verbindung, hat aber den Müll mit der separaten Daten- und Steuer-Verbindung von FTP beibehalten. Da da jetzt aber kein Proxy und kein NAT mehr reingucken kann, um die PORT Kommandos auszuwerten ...
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: FTP Proxy - explizietes SSL/TLS
«
Reply #6 on:
August 05, 2020, 08:25:20 pm »
Noch viel lustiger finde ich, ist, dass man nicht mal weis, ob die Datenverbindung dann auch TLS-geschützt ist, das ist nämlich nicht sicher. Da gibt es nämlich 3 Varianten bei FTP mit TLS:
* Nur Credentials sind geschützt (das geht nur mit einer STARTTLS variante)
* Nur der Steuerkanal ist geschützt
* Beides ist geschützt
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
FTP Proxy - explizietes SSL/TLS
