aktiver ftp zugriff trotzdem firewall?

[arona.at]

ich benutz mac os 10.4.3, hab die firewall akiviert. ftp is der einzige aktivierte dienst (mir is klar, dass der für den ftp server auf dem mac zuständig ist).

mein problem is, dass ich auf einen ftp server nur per aktiven ftp zugriff bekomme (connecten geht eh, aber beim empfangen der liste gibs n timeout). in der hilfe steht, dass man nur durch deaktivieren der firewall nen aktiven ftp zugriff machen kann, aber ich will die firewall net abschalten, für was hab ich sie denn? kann man sie net irgendwie umkonfiguriern, dass sie auch aktiven ftp zugriff zulässt?

getestet hab ich das ganze mit cyberduck und transmit. am windows pc mi flashfxp (pasv funkt net, aktiv schon, dass selbe wie bei mac).

mfg arona.at

 

[oneOeight]

ipfw add allow tcp from any 20-21 to any 1024-65535 in setup

 

[arona.at]

habs per terminal mit sudo rechten ausgeführt, dann kam folgende msg:

35100 allow tcp from any 20-21 to any dst-port 1024-65535

allerdings komm ich immer noch net aufn ftp server

ps: unter systemsteuerung > netzwerk > proxy > pasv ftp verwenden hab ich das hackerl rausgemacht.

 

[oneOeight]

hast du das "in" und das "setup" auch im kommando gehabt?
das fehlt in der rule...
es sollen die eingehenden verbindungen zugelassen werden

probier mal vielleicht:
sudo ipfw add allow tcp from any 20 to any 1024-65535 in setup keep-state
sudo ipfw add allow tcp from any to any 21 in setup keep-state

trotzdem ist active ftp bei einem firewall keine gute idee, weil du den schon extrem aufmachen musst, damit active funktioniert...

 

[arona.at]

ich will ja nur auf einen aktiven fernen ftp server connecten und trotzdem muss ich die firewall so sehr aufmachen?

wenns nach mir gehe wäre mir ein passiver ftp server, auf den ich connecte auch lieber, aber es geht net anders ...

aber es hat net gefunkt.

ipfw add allow tcp from any 20-21 to any 1024-65535 in setup < da hat sich die firewall deaktiviert und ich hab den pc neugestartet. bei den jetzt nach gereichten hab sich nix getan? (eventuell pc neustarten?)

kenn mich mit dem configurieren der firewall per terminal net aus ...

 

[oneOeight]

ja, du musst den firewall schon massiv ausmachen, weil aktives ftp halt irgendwelche ports aus der 1024-65535 range benutzt...
zwar nur ausgehend von dem server port 20 und 21, aber trotzdem...

neu starten musst du übrigens nicht, du musst einfach nur ein "sudo ipfw flush" machen...
und sharing noch mal zu und wieder auf, dann kannst du den firewall wieder aktivieren ohne meckern...

 

[arona.at]

geht leider nimmer noch nicht. sowohl cyberduck und transmit können nicht connecten.

von meiner windose funktioniert es einwandfrei, am router sind beide gleich eingestellt.

muss ich halt weiterhin mit windows auf den ftp zugreifen, kann man nix machen.

 

[oneOeight]

dann schalte doch die firewall so lange aus, du hast auf os x eh keine dienste laufen, die gefährlich offen sind...

 

[maceis]

Bei einer (oder mehreren) "setup keep-state" rule/s hat man üblicherweise ziemlich weit oben eine check-state rule.
Grundsätzlich empfielt es sich bei Problemen das logging zu aktivieren

sudo sysctl -w net.inet.ip.fw.verbose=2
sudo killall  /usr/libexec/ipfwloggerd
sudo /usr/libexec/ipfwloggerd

und die logfiles mitzulesen, um zu sehen, welche Pakete geblockt werden:

tail -f /var/log/ipfw.log

Die Regeln die geloged werden sollen (also auch die ftp Regeln) müssen natürlich erweitert werden; z.B. mit

sudo ipfw delete 12190 deny tcp from any to any
sudo ipfw add 12190 deny log tcp from any to any

Wenn Du dann immer noch Probleme hast, poste doch mal den gesamten Regelsatz:

sudo ipfw list

JFTR:
Ich würde bei der Eingabe von Regeln auch nicht die beiden möglichen Syntax Varianten mischen; das verwirrt nur.

Ach und noch was.
Zumindest bei Transmit, kannst Du ein Session Fach öffnen und mitlesen.
Was steht denn da interessantes drin?

 

[oneOeight]

bei transmit steht nie was interessantes im session fach
das steht nur LIST und wenn da dann ein time-out kommt, schaltet der automatisch auf PASV, was halt hier in dem fall versagt, weil der benutzte server wohl nur active kann (warum auch immer)...

 

[arona.at]

Dec 10 18:46:15 arona-at ipfw:  12190 Deny TCP server-ip:20 192.168.1.100:49688 in via en1
Dec 10 18:46:18 arona-at ipfw:  12190 Deny TCP server-ip:20 192.168.1.100:49688 in via en1
Dec 10 18:46:24 arona-at ipfw:  12190 Deny TCP server-ip:20 192.168.1.100:49688 in via en1

hier noch die liste:

02000 allow ip from any to any via lo*
02010 deny ip from 127.0.0.0/8 to any in
02020 deny ip from any to 127.0.0.0/8 in
02030 deny ip from 224.0.0.0/3 to any in
02040 deny tcp from any to 224.0.0.0/3 in
02050 allow tcp from any to any out
02060 allow tcp from any to any established
02070 allow tcp from any to any dst-port 21 in
12190 deny log tcp from any to any
20310 allow udp from any to any dst-port 53 in
20320 allow udp from any to any dst-port 68 in
20321 allow udp from any 67 to me in
20322 allow udp from any 5353 to me in
20340 allow udp from any to any dst-port 137 in
20350 allow udp from any to any dst-port 427 in
20360 allow udp from any to any dst-port 631 in
20370 allow udp from any to any dst-port 5353 in
22000 allow udp from any to any dst-port 123 in
30510 allow udp from me to any out keep-state
30520 allow udp from any to any in frag
35000 deny udp from any to any in
65535 allow ip from any to any

so unger ich auch frage, aber ich kenn mich net wirklich gut aus (bin relativ neu bei mac). was muss ich jetzt machen?

 

[oneOeight]

hängst du hinter einem router oder ist der ftp server im LAN?

 

[maceis]

Aktives FTP wird versucht, aber Dein Port 20 ist zu auf en1.
Also musst Du den noch anständig aufmachen (z.B. so)

sudo ipfw add 02051 allow tcp from _server-ip_  20 to me in via en1

 

[arona.at]

hängst du hinter einem router oder ist der ftp server im LAN?

der ftp server ist irgendwo auf der welt (ka wo genau). ich häng hinter einem router.

Aktives FTP wird versucht, aber Dein Port 20 ist zu auf en1.
Also musst Du den noch anständig aufmachen (z.B. so)

sudo ipfw add 02051 allow tcp from _server-ip_  20 to me in via en1

hat auch net funktioniert, irgendwie verzweifel ich ...
(_server-ip_ hab ich ersetzt, keine sorge) und ich hab auch ein flush gemacht und die firewall neu gestartet.

 

[maceis]

dann mach mal

sudo ipfw add 02051 allow log tcp from _server-ip_  20 to me in via en1

und beobachte (poste) das ftp.log

 

[arona.at]

dann mach mal

sudo ipfw add 02051 allow log tcp from _server-ip_  20 to me in via en1

und beobachte (poste) das ftp.log

bei beiden passiert gar nichts, ftp macht immer noch nix und die log schweigt sich aus ...

ich glaub ich lass es ...

 

[oneOeight]

warum reicht dir eigentlich nicht der router (bzw das NAT) als firewall? hast du noch so viele böse leute bei dir im lan?

 

[arona.at]

warum reicht dir eigentlich nicht der router (bzw das NAT) als firewall? hast du noch so viele böse leute bei dir im lan?

das nennt sich windows paranoidität ^^

bins von windows gewohnt soviel wie möglich an sicherheit aufzubauen ...

außerdem handelt es sich um ein pb, welches ich jeden tag in da schule mithabe und glaub mir, dort willst du nicht ohne firewall herum rennen (wenn selbst itler zu dumm zum einrichten ihrer laptops sind)

es wäre neben der benutzt von windows, die letzte möglichkeit. mir wäre es lieber ein paar ports freizugeben als die fw immer zu deaktivieren / aktivieren.

 

[arona.at]

hm, wie kann ich den die getanen änderungen wiederzurück setzen?

weil irgendwie block die firewall jetzt w3 ab und ich seh keine games mehr im lan.

danke für die hilfe, auch wenns nix gebraucht hat.

mfg arona.at