ProFTPD & Firewall wie richtig einstellen?

    Hallo,


    ich wollte jetzt die Firewall so schalten das ich nur einen eigenen SSH Port, HTTP und FTP freigebe. Alles andere soll gesperrt werden. Jetzt ist es ja glaube ich so das FTP 2 Ports verwendet, oder? Einen für jede Richtung (20 & 21) Aber zusätzlich glaube ich nimmt FTP im passiven Modus immer noch einen beliebigen Port?
    Problem ist wenn ich passive im Client ausstelle komme ich auch nicht rauf.


    Passive aus:

    Code
    500 Illegal PORT command

    Passive an:

    Code
    [R] 227 Entering Passive Mode (***,**,***,**,214,241).
[R] Öffne Datenkanal-IP: ***.**.***.** PORT: 55025
[R] Daten Socket Fehler: Verbindung zu lange im Leerlauf
[R] Auflistungsfehler

    Ports habe ich 20 und 21 freigegeben in der Firewall


    Hier meine proftpd.conf

    Ich bin doch wohl nicht der einzige mit FTP und Firewall, oder? :)


    Edit: Ich arbeite mitlerweile mit einer Port Range. Wie gebe ich diese Range in der Firewall ein?
    PassivePorts 60000 65534


    Edit2: Habe gerade gesehen das es nicht geht...

    Zitat von sim4000;10304

    Also ich habe in der Firewall einfach 20 & 21 erlaubt.
    Mehr nicht.


    Zudem Verwendet der FTP nicht einen Port für jede Richtung. ;)
    http://de.wikipedia.org/wiki/File_Transfer_Protocol


    1. komisch verstehe ich nicht denn wie im Wiki Eintrag steht nimmt dich der FTP ja einen Port jenseits von 1023. Bei aktiv sowie bei Passive Mode. Dieser Port müsste doch durch die Firewall geblockt sein, oder?


    2. ja so ähnlich... :)

    Okay Fehler gefunden...


    Ich habe nicht den Standard Port 21 verwendet sondern einen anderen.
    Sagen wir mal 5521 Jetzt dachte ich der 2. Port der benötigt würde wäre entweder 5520 oder 20. Aber beides war falsch. Wenn ich den Standardport 21 nehme geht es mit 20 als Freigabe.
    Was muss ich als 2. Port freigeben wenn ich 5521 nehme?


    mfg Chris

    Zitat von masterchris_99;10231

    Hallo,


    ich wollte jetzt die Firewall so schalten das ich nur einen eigenen SSH Port, HTTP und FTP freigebe. Alles andere soll gesperrt werden.


    Das ist meiner Meinung nach grober Unfug. Du bemerkst ja gerade selber, dass du Probleme bekommst, die du nicht genau erklären kannst.


    Sinnvoller ist es, nur die Ports zu sperren, die auch offen sind und deren Dienste du nicht von außen erreichbar haben willst. Aus dem Kopf sind das beim Debian Lenny Image pop3, smtp, dns und mysql.


    Der Server ist nicht weniger sicher, es sind genau so wenig offene Ports erreichbar.


    Du kannst mit Nmap von daheim aus scannen, bis nur noch dein FTP-, HTTP- und SSH-Port offen ist. Das mag zuerst aufwändig klingen, es sind aber nicht so viele Einträge und dann läuft auch dein FTP wie er soll.