Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP Server in DMZ

Hallo,

da nun meine DMZ Funktioniert habe ich ein erneutes Problem.
Es geht um einen FTP Server in der DMZ.
Erstens könnt ihr mir ein FTP Server Empfehlen der auch mit der Astaro Funktioniert und zweitens wie richtie ich den dann ein ? 
Hat jemand da ne idee ? 

würde mich freuen...


This thread was automatically locked due to age.
Parents
  • Hi Matthaes,

    Das ist der Astaro egal was für einen FTP Server sich dahinter befindet, wenn du bereits einen Windows Rechner hast dann würde ich den IIS konfigurieren.
    Dieser ist mit an Board egal ob Server OS oder Client OS. Du musst den IIS lediglich installieren (mit FTP Dienst), ganz klassisch über Systemsteuerung -> Software.
    How To:
    Gewusst wie: Erstellen und Konfigurieren von FTP-Sites in IIS

    Auf der Astaro musst du dann lediglich noch eine dNAT einrichten welche mit dem Service FTP (Port 21) zum DMZ FTP Server schaut.

    Grüsse,
    Beat
  • hallo,

    ja okay ich habe als test mal server - u genommen und laufen lassen aber es geht nicht.

    ich habe 2 DNAT Regeln eingestellt:
    1.) vom internet --> dienst ft --> rechner wo FTP Server läuft (Name workstation)

    2.) vom internet--> dienst CIFS --> zu rechner mit FTP server (Name)

    das sind die beiden regeln und wenn ich auf den packet filter log schauen wird meine anfrage gedropt wenn ich nur den port 21 nutze.
    wenn ich aber den port 2121 nutze geht zwar die anfrage durch aber kommt nicht an geht irgendwo unter.

    das verstehe ich nicht.

    mein FTP Server steht in einer DMZ habe ich glaube ich aber auch schon mal gesagt.

    habe die DNAT Regeln eingegeben und Packetfilterregeln auch habe port 21 und CIFS ports frei gegeben auf den ftp server... 

    aber irgendwie geht es nicht irgendwas mache ich falsch.
  • Also ich habe das mal Intern eingestellt das ich vom internen netz auf den ftp server komme das geht mit der regel.

    Internes Netzwerk --> Dienst FTP --> FTP Server 
    das hat wunderbar funktioniert.

    wenn ich von extern auf den FTP server zu kommen muss ich ja meine externe IP angeben.
    dann sollte die Astaro verstehen he das ist ein FTP prtokoll leite das auf den ftp server in die dmz weiter ...

    habe wie oben schon beschrieben die DNat regeln angelegt aber es geht nicht kann keine verbindung aufbauen..

    warum ?
  • also es geht jetzt ich habe meine DNAT Regeln umgestellt auf 
    Traffic selector:  Any →  FTP →  External (WAN) (Network) 
    Traffic selector:  Any →  CIFS →  External (WAN) (Network) 


    nun geht es ....

    vielen dank für die hilfe wollte die lösung mal posten vielleicht hat ja mal jemand was von
  • Warum eigentlich CIFS? Wer das übers Internet zugänglich macht, der braucht eigentlich auch kein ASG mehr. Da kann man ja gleich nen Hackwettbewerb im Forum des CCC starten...
  • ja du hast recht ich hatte irgendwo mal gelesen das die CIFS den namen auflösen oder so was.
    aber ich habe das wieder abgestellt und nun gut ist habe nur den Port 21 weiter geleitet.

    mal eine Frage zum FTP Proxy bei der Astaro wenn ich den ausschalte läuft das mit FTP aber immer noch weiter. Also ich merke oder sehe dabei keine verähnderung.

    Muss das so sein oder habe ich da was falsches eingestellt.
    Ich habe die DNAT Regeln eingestellt und das wars dann eigentlich auch schon danach hate alles funktioniert.

    und jetzt weiß ich nicht was für ein sinn der FTP Proxy macht wenn es egal ist ob er an oder aus ist...
Reply
  • ja du hast recht ich hatte irgendwo mal gelesen das die CIFS den namen auflösen oder so was.
    aber ich habe das wieder abgestellt und nun gut ist habe nur den Port 21 weiter geleitet.

    mal eine Frage zum FTP Proxy bei der Astaro wenn ich den ausschalte läuft das mit FTP aber immer noch weiter. Also ich merke oder sehe dabei keine verähnderung.

    Muss das so sein oder habe ich da was falsches eingestellt.
    Ich habe die DNAT Regeln eingestellt und das wars dann eigentlich auch schon danach hate alles funktioniert.

    und jetzt weiß ich nicht was für ein sinn der FTP Proxy macht wenn es egal ist ob er an oder aus ist...
Children
  • Dann muss im Packet Filter eine FTP Regel aktiv sein welche ausgehend FTP zulässt. (Internal -> FTP -> Any)

    Grüsse,
    Beat
  • Nochmal nachgefragt:

    Von Internet -> FTP -> FTP-Server

    hat nicht funktioniert. Ich habe im Forum aufgegabelt, dass "Von Internet" quasi nur das Netzwerk vom Interface ist, das direkt im Internet hängt (also die öffentliche IP mit ner 32 Bit Netzmaske). Das heisst, dass nur Anfragen von dieser einen öffentlichen IP geNATed werden. Any -> FTP -> FTP-Server ist dann in diesem Fall die korrekte Netzwerkadresse (Netzmaske also quasi 0.0.0.0) ?

    Gruß,
    Patrick
  • Also einen Port von extern nach intern durchzuleiten ist doch nicht so schwer....

    1. Network Security->NAT->DNAT/SNAT
    any  -> WunschPort -> ExterneIP -> ZielServerIntern

    2.Network Security->PacketFilter
    any -> WunschPort -> ZielServerIntern 

    Wenn mann bei WunschPort zb. https  und als ZielServerIntern einen ExchangeServer einsetzt, dann funktioniert OWA. usw.usw.

    Gregor Kemter