FTP Firewall Regeln


#1

Hallo,

ich möchte gern FTP im Lehrer-WLAN freigeben. Port 21 allein reicht da nicht aus, da das nur für den Verbindungsaufbau genutzt wird, aber die eigentlichen FTP Befehle über andere Ports laufen. Ganz habe ich das noch nicht verstanden (passiver vs. aktiver Modus), deshalb meine Frage:

Wer hat FTP in seinem Netz freigegeben und welche Regel(n) habt ihr dafür eingerichtet?

vG Stephan


#2

Hi,
wenn möglich, verzichte auf FTP!

Lassen wir die offensichtlichen Nachteile wie keine Verschlüsselung etc. mal weg, ist FTP nach heutigem Standard auch schlecht designt.

Wenn du eine FTP Verbindung nach außen aufbaust, dann “antwortet” der Server mit einer neuen Anfrage zurück, auf einem anderen Port. Es ist im Grunde also keine Antwort, sondern ein völlig neues Paket. Und genau das ist es, was dir letztlich das Genick bricht. Für die Firewall sieht das ankommende Paket von extern aus wie ein ungefragter Versuch in das Netzwerk zu kommen. Und natürlich blockiert sie diesen Versuch. Genau dafür ist sie ja da. Es ist übrigens egal ob man hier Aktiv oder Passiv FTP nutzt.

Wirklich lösen lässt sich das Problem dank des Designs von FTP nicht. Workarounds wären entsprechende Ausnahmeregeln für feste externe IP Adressen zu definieren. Aber auch das ist eher dirty.

Falls es dir möglich ist, nutze SFTP. Heisst zwar ähnlich, hat aber nichts mit dem klassischen FTP zu tun.

SFTP arbeitet deutlich sicherer und für die Firewall einfach besser, weil Antwortpakete auch als Antwortpakete erkannt werden. Und du entsprechend keine hässlichen Workarounds schaffen musst.

SFTP ist nicht zu verwechseln mit FTPS. FTPS ist klassisches FTP mit einem SSL Layer oben drauf. Löst das Verschlüsselungsproblem, die restlichen Probleme bleiben aber.

TL;DR: FTP ist tot! Es lebe SFTP!