Cyberduck Firewall Problem

N

natsuki

Mitglied
Thread Starter
Dabei seit
24.06.2005
Beiträge
45
Reaktionspunkte
0
hi,
Ich hab ein Problem mit Cyberduck und meiner OS X Firewall.

Also, wenn ich per Cyberduck auf meinen Webspace zugreifen will, kann ich mich kann ich mich zwar anmelden, aber dann, beim Verzeichnis laden, bekomme ich immer einen IO-Fehler: timeout.
Ich hab bei der OS X Firewall den Port 21 für Cyberduck frei gegeben. aber es geht trozdem nicht, egal ob ich bei Cyberduck Aktiv oder Passiv wähle.

Aber,
wenn ich die OS X Firewall komplett deaktiviere, gehts ohne Probleme.
Was kann da noch geblockt werden? außer Port 21, der ja eh frei gegeben ist?


Gruß
natsuki
 
Cyberduck

Hi natsuki!
ich hab die Verbindung eben mit meiner Ente ausprobiert - kein problem. in den Systemeinstellungen /Firewall ist bei mir gar nichts freigegeben außer personal filesharing (und natürlich was sich von selbst freigiebt, z. B. iTunes und die Zeiteinstellung). In 10.4.4 sind im Gegensatz zu vorherigen Versionen auch keine einzuschaltenden Ports mehr angegeben.
Vielleicht hast den Zielordner falsch (ungenau) angegeben. Mach doch deine einstellungen noch mal ganz genau.
Ich sage jetzt nicht "Rechte reparieren" - ist meist überflüssig, aber schaden tut es dennoch nicht
Salome
 
FTP benötigt ja auch zwei offene Ports, gib doch außer dem Pt. 21 die 20 noch frei
 
Das Problem bei FTP ist, dass man den Port nicht wirklich "vorhersagen" kann - AFAIK sucht sich eine der Varianten aktiv/passiv irgendwas über 1000 für den Datentransfer aus, beim Firewall konfigurieren ist das natürlich unpraktisch...
Muss es unbedingt FTP sein, oder würde auch SFTP funktionieren? Damit bin ich nämlich bisher noch durch jede Firewall gekommen, ohne Konfiguration!

lg xell
 
xell42 schrieb:
Das Problem bei FTP ist, dass man den Port nicht wirklich "vorhersagen" kann - AFAIK sucht sich eine der Varianten aktiv/passiv irgendwas über 1000 für den Datentransfer aus, beim Firewall konfigurieren ist das natürlich unpraktisch...
Muss es unbedingt FTP sein, oder würde auch SFTP funktionieren? Damit bin ich nämlich bisher noch durch jede Firewall gekommen, ohne Konfiguration!

lg xell
Zum Vergrößern anklicken....

das stimmt doch garnicht! ..oder nutzt du overload bzw. pat?
 
Danke für die Antworten.
hat leider nichts genützt.
Port 20 + 21 hab ich probiert. geht auch nicht.
SFTP geht auch nicht. ich denke das wird von dem Webhoster nicht unterstützt. (Ist nicht mein Webspace. ich hab nur von Jemandem zu Testzwecken FTP Zugangsdaten bekommen) ich werd mir jetzt selbst Webspace besorgen. vielleicht klappt da SFTP.
Und wenn nicht, bleibt mir halt nur über, immer, wenn ich was hochladen will, mal schnell die OS X Firewall zu stoppen.

Gruß
natsuki
 
ftp benötigt port 20 und 21, dies mußt du in der firewall freischalten.

die Firewall konfigurierst du mit ipfw oder auf der GUI in den Systemeinstellungen (dort hast du aber nur ganz wenig Optionen).
 
Port 20 und 21 hab ich eh freigeschalten.

es geht trotzdem nicht.
 
Das ist auch alles Quatsch. Passives Ftp braucht Port 21 und dann einen zufaellugen Port groesser 1024! Beim aktivern FTP werden die Ports 21 und 20 beim Server benoetigt. Da du aber doch eine ausgehende Verbindung auf einen FTP Server machen willst musst du GARNICHTS freischalten! Die Os X Firewall laesst alles nach draussen und du gehst definitiv ueber ein Port >1024 raus. Also mach die Ports dicht, das Problem liegt dann eher beim Server im Netz.
 
guck dir mal die anderen threads zu der problematik an.
port 20 muss nicht freigeschaltet sein, das ist ausgehende port vom server und der kommt auf irgendeinen beliebigen port beim client bei aktivem ftp.

hängst du hinter einem router? passiv sollte eigentlich funktionieren...
 
ja, ich häng hinter einem router.
aber an dem liegst glaub ich nicht, denn sobald die OS X Firewall gestoppt ist, gehts!
 
hast du irgendwie sonst irgendwelche böse im LAN, oder leitest alle ports direkt durch? oder warum brauchst du eine firewall hinter einem router?
 
Wenn du hinter nem Router sitzt und nicht alle Ports offen hast, mach die Os X Firewall aus. Und wie gesagt, damit du auf einen Ftp Server zugreifen kannst, brauchst du garnichts oeffnen. Es sei denn dein Router sperrt auch nach draussen, was aber bei "billig" Routern kaum der Fall ist.
 
Hab ich doch schon vor Stunden gesagt: ich hab nix frei geschaltet, sitze hinter dem Airport (ist doch auch so was wie ein Rooter? Oder?) und komme problemlos auf sämtliche Server.
salome
 
Wenn Du sehen möchtest, was der Server bei Dir versucht, und was dann eben geblockt wird, musst Du das Logging der Firewall aktivieren und die Logfiles beobachten.
Alles andere ist stochern im Dunkeln.

Ich vermute mal, dass der Router irgendwelche (alle?) Ports durchreicht und der FTP Server aktives FTP macht.
Andernfalls ergibt die beschriebene Problematik eigentlich keinen Sinn.
In diesem Fall ist das aufmachen der Firewall natürlich nur bedingt anzuraten.

Im Übrigen haben Radiohead in Post 9 und oneOeight in Post 10 völlig Recht.
Wer dazu rät auf dem Client den Port 20 aufzumachen hat FTP nicht verstanden.
Wer bitte außer root darf denn auch Port 20 benutzen?

Ach so: Was Du auch mal probieren könntest, ist, ob Du im terminal auf den FTP Server kommst, wenn Du dich halbwegs damit auskennst.

mach mal:
ftp ftp.server.de
gib Deine Zugangsdaten ein und mach dann:
ls

Was passiert da?
Mit
bye
Meldest Du dich wieder ab.
 
Also mein Router (Linksys WRT54G) hat bei der Firewall die Standardeinstellungen. Ports leite ich auch nicht direkt durch. naja, ich hab mir gedacht, schaden kanns ja nicht, wenn ich die OS X Firewall noch Starte. (außer vielleicht bei ftp) :/

Terminal:
nachdem ich Name und PW eingegeben habe:

230 User logged in, proceed.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
500 'EPSV': command not understood.
227 Entering Passive Mode (212,227,82,153,13,198)
200 PORT Command successful.
150 Opening ASCII mode data connection for /bin/ls.

(jetzt macht er im Moment nichts mehr. vielleicht dauert es aber noch ein bisschen?)

ipfw.log

Jan 22 10:42:49 iMac-G5 ipfw: 12190 Deny TCP 192.168.1.1:2150 192.168.1.100:5000 in via en1
Jan 22 10:42:51 iMac-G5 ipfw: 12190 Deny TCP 192.168.1.1:2150 192.168.1.100:5000 in via en1
Jan 22 10:42:57 iMac-G5 ipfw: 12190 Deny TCP 192.168.1.1:2150 192.168.1.100:5000 in via en1
Jan 22 10:43:09 iMac-G5 ipfw: 12190 Deny TCP 192.168.1.1:2150 192.168.1.100:5000 in via en1
Jan 22 10:43:33 iMac-G5 ipfw: 12190 Deny TCP 192.168.1.1:2150 192.168.1.100:5000 in via en1
Jan 22 10:44:22 iMac-G5 ipfw: 12190 Deny TCP 192.168.1.1:2150 192.168.1.100:5000 in via en1
Jan 22 10:47:38 iMac-G5 ipfw: 12190 Deny TCP 212.227.82.153:20 192.168.1.100:51664 in via en1
Jan 22 10:47:41 iMac-G5 ipfw: 12190 Deny TCP 212.227.82.153:20 192.168.1.100:51664 in via en1
Jan 22 10:47:47 iMac-G5 ipfw: 12190 Deny TCP 212.227.82.153:20 192.168.1.100:51664 in via en1
Jan 22 10:57:58 iMac-G5 ipfw: 12190 Deny TCP 212.227.82.153:20 192.168.1.100:51771 in via en1
Jan 22 10:58:01 iMac-G5 ipfw: 12190 Deny TCP 212.227.82.153:20 192.168.1.100:51771 in via en1
Jan 22 10:58:07 iMac-G5 ipfw: 12190 Deny TCP 212.227.82.153:20 192.168.1.100:51771 in via en1

Das war bis jetzt nur ftp im Terminal.

Cyberduck:
ok, beim passiv mode, hat die Firewall laut ipfw.log nichts gemacht.

beim aktiv mode:
Jan 22 11:18:37 iMac-G5 ipfw: 12190 Deny TCP 212.227.82.153:20 192.168.1.100:51794 in via en1
Jan 22 11:18:40 iMac-G5 ipfw: 12190 Deny TCP 212.227.82.153:20 192.168.1.100:51794 in via en1
Jan 22 11:18:46 iMac-G5 ipfw: 12190 Deny TCP 212.227.82.153:20 192.168.1.100:51794 in via en1
 
In den letzten Zeilen sieht man sehr schön, dass Port 20 als Quellport des Servers bei aktivem FTP verwendet wird und ein Zielport meist größer ~49000 (hier 51794) verwendet wird.
Dass das mit aktivierter Firewall ohne besondere Vorkehrungen nicht gehen kann, ist schon mal klar.

Das eigentliche Problem wird sehr schön im ersten log Abschnitt sichtbar:
Code: 
Jan 22 10:42:49 iMac-G5 ipfw: 12190 Deny TCP 192.168.1.1:2150 192.168.1.100:5000 in via en1
Was passiert hier?
Die Airport sendet die Antwort an Deinen Rechner mit der eigenen Adresse als Quelladresse; das ist falsch.
Da müsste eigentlich stehen:
Code: 
Jan 22 10:42:49 iMac-G5 ipfw: 12190 Allow TCP 212.227.82.153:2150 192.168.1.100:5000 in via en1
Bzw. gar nichts, wenn Du nicht die allow Rules auch logst.
Im unteren Abschnitt wird wieder aktives FTP versucht.

Das waren jetzt erst mal nur die wichtigsten Erkenntnisse aus dem Log.
Es gibt jetzt mehrere Lösungsansätze. Hier sind mal zwei:
Der beste ist vermutlich, Deine Airport Station richtig zu konfigurieren.
Der zweite wäre, eine Firewallregel einzuführen, die genau den erwünschten Traffic erlaubt und alles andere weiterhin blockt. Dann kannst Du vermutlich auch mit aktivem ftp arbeiten.

Im Detail habe ich es jetzt nicht durchdacht, aber ich denke auf diesem Weg kommst Du weiter.
 
danke, aber ganz blick ich jetzt noch nicht durch.
Wie soll ich meine Airport (die übrigens ein Linksys Router ist ;) ) konfigurieren? Wenn du die OS X Firewall den Traffic blockt.
ja, der Router (192.168.1.1) sendet die Antwort,
doch auch der Server? (212.227.82.153) sendet eine Antwort.

Also, was ich da jetzt herauslesen kann, blockt die OS X Firewall beide Antworten: vom Router (192.168.1.1) und vom Server (212.227.82.153)

Also die Router-Firewall Einstellung sieht so aus:

oder sollte ich bei Port Range Forward oder Port Triggering was an den Einstellungen ändern?

sry, wenn ich mich da jetzt n bisschen dumm anstelle.

Gruß
natsuki
 
Suche mal nach FTP in der wikipedia, damit du erstmal verstehst, was der Unterschied zwischen aktiv und passiv FTP ist. Dann kannst du entsprechend die Ports im Linksys auf deine interne IP weiterleiten.
 
Ich kenn den Linksys Router nicht.

Zunächst aber mal zur Firewall. UDP können wir mal ganz außen vor lassen, weil FTP nur über TCP geht.
Ich gehe davon aus, dass Du die Firewall nur startest und evtl. noch irgendwelche Dienste über das Sharing Panel startest.
In diesem Fall, erlaubt die Firewall alle ausgehenden Verbindungen, und alle Antworten, die auf eine von innen initiierte Session hereinkommen.

Wenn ich den ersten Abschnitt Deines Logs ansehe, erkenne ich folgendes.
Der Router sendet was an den Mac, was dieser nicht akzeptiert (Deny).
Das kann jetzt Traffic sein, der mit dem FTP nichts zu tun hat, dann ist das hier unbeachtlich und je mehr ich drüber nachdenke, um so wahrscheinlicher scheint mir das. Wäre evtl. mal interessant, was das für Datenverkehr ist ;).

Die letzten sechs Zeilen sind aktives FTP.
Da stellt sich doch die Frage:
Hast Du in Systemeinstellungen Netzwerk passives FTP eingestellt?

Der Abschnitte Cyberduck zeigt ebenfalls aktives FTP.
Selbe Frage: passives FTP eingestellt?

Prüf das doch mal und melde Dich wieder.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten