FTP / Firewall OS X

[Jannis]

Hallo,
ich hatte folgendes problem (siehe hier: https://www.macuser.de/forum/showthread.php?t=116695 )

das ist wie gesagt so gewesen,das sich bei ftp-servern auf die ich mittels cyberduck etc. connected hatte das verzecihn is nie geladen hatte!

das geht nur wenn ich die komplette firewall STOPPE! dann geht alles einwandfrei! sobald ich sie starte geht es nicht mehr! selbst wenn ich alle haken (dienste) setze! das müsste ja das gleiche sein wie komplett stoppen also quasi alles erlauben?oder gibt es da weitere konfigurationen?
da ich hinter keinem router sitze,will ich eigentlich die firewall nicht komplett ausschalten..
hier das sagt das firewall protokoll. während dann eben das verzeichnis nie geladen wird.

Sep 27 22:05:36 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.242.1:50237 in via ppp0
Sep 27 22:05:39 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.242.1:50237 in via ppp0
Sep 27 22:05:45 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.242.1:50237 in via ppp0


könnt ihr mir helfen,,bzw tipps zur richtigen konfiguration?

danke!

 

[maceis]

Bei aktivem FTP müssen alle Ports über 49000 (bei manchen alten Clients sogar über 1023) offen sein, da der Server ja den Datenkanal zum Client einrichten muss.
Man sieht in Deinem log Ausschnitt sehr schön, dass eine TCP Verbindung mit dem Quellport 20 (FTP data) geblockt wird.

Alle Haken setzen ist noch lange nicht das gleiche, wie alles erlauben.
Es gibt 65535 Ports für TCP und nochmal so viele für UDP.

HTH

 

[Jannis]

Hallo maceis!

vielen vielen dank!
kannst du mir bitte nochmal kurz erklären wo ich was genau einzustellen habe?

DANKE

 

[maceis]

Schalte Deine Firewall ein.
Dann gib im Terminal folgendes Kommando ein:

sudo ipfw add 10000 allow log tcp from any to any src-port 20 dst-port 49000-65553 in

Bestätige mit Deinem Kennwort.
Ich habs jetzt nicht getestet, aber das müsste klappen.
Damit sollte aktives ftp mit beliebigen Servern funktionieren.

 

[Jannis]

also ich habe das gemacht...

jetzt geht es leider wieder nicht und vor allem steht jetzt bei firewall weder aktiv noch stopp..sondern: firewall nicht verfügbar..


?

 

[maceis]

Oh, hab ich vergessen.
Mit

sudo ipfw flush

werden alle Regeln gelöscht, dann kannst Du über Sharing wieder drauf.
Ich schau mir das morgen nochmal an, wenn ich wieder richtig wach bin.

Was sagt das log?

 

[oneOeight]

einfach mal eine andere rulenumber versuchen...
throttled z.B. benutzt 07000 und stört den firewall nicht damit...

 

[maceis]

deny tcp hat 12190, von daher, denke ich, müsste es passen.
Der Versuch kann aber sicher nichts schaden.
Legt throttled denn eine Regel für ftp an?
Wenn ja, wie lautet die?

 

[Jannis]

also,

ich habe es nun rückgängig gemacht, dann nach wie vor (wie ganz oben beschrieben) mit firewall deaktiviert komme ich drauf und mit firewall an folgendes:

Sep 28 08:44:47 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.211.15:49191 in via ppp0
Sep 28 08:44:50 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.211.15:49191 in via ppp0
Sep 28 08:44:56 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.211.15:49191 in via ppp0

nachdemn ich dann deinen oben beschrieben befhel ausgeführt habe ist dann die firewall aus (nicht anschlatbar) und folgender log:

Sep 28 08:48:05 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.211.15:49193 in via ppp0
Sep 28 08:48:08 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.211.15:49193 in via ppp0
Sep 28 08:48:14 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.211.15:49193 in via ppp0

aktueller status:

funktioniert nur mit integrierter firewall auf "stop" modus! befehl leider nicht wirksam!

Bin über eure hilfe echt dankbar und erhoffe mir das wir eine lösung finden!
habe keine ahnung von was ihr redet bei "throtteld"

bin jetzt estmal in der uni....bis später! und DANKE

 

[jlepthien]

du kannst die ipfw ueber das klicki-bunti interface nicht so konfigurieren wie du willst. gehe mal auf die seite von maceis und lies sein ipfw tutorial, dann solltest du die ipfw so konfigurieren, ist eh besser, denn ueber die apple standard einstellung werde ALLE pakete nach aussen gelassen

 

[maceis]

hallo Jannis,

zunächst mal eines: die Firewall ist nicht aus, sie lässt sich nur nicht mehr per Systemeinstellungen konfigurieren, weil das ein unkontrollierbares Durcheinander gäbe und zu Fehlern führen würde.

Komisch ist, dass nach Eingabe des Kommandos immer noch die Regel 12190 anspringt, obwohl die Regel 10000 eigentlich passen müsste. Das siehst Du hier:
Sep 28 08:48:14 jannis ipfw: 12190 Deny TCP 80.136.78.161:20 84.167.211.15:49193 in via ppp0

Bitte mach mal folgendes und poste die Ausgabe (nach Eingabe des Kommandos)

sudo ipfw list

Dannach kannst Du noch folgendes versuchen:

sudo ipfw flush

Firewall in Systemeinstellungen wieder aktivieren.

sudo ipfw add 10000 allow log tcp from 80.136.78.161 to any in

Damit erlaubst Du nur diesem Rechner Zugriff auf alle Ports.
noch strenger wäre:

sudo ipfw add 10000 allow log tcp from 80.136.78.161 to any src-port 20 in

Zugriff auf alle Ports, aber nur, wenn der Quellport 20 (ftp data) ist.

HTH

 

[oneOeight]

Legt throttled denn eine Regel für ftp an?
Wenn ja, wie lautet die?

/sbin/ipfw add 07000 divert 17778 tcp from any to any 21 out xmit $INTERFACE

jedesfalls sorgt der damit, dass der firewall in den sys prefs konfigurierbar bleibt.

 

[maceis]

Damit wird aber kein aktives ftp ermöglicht, oder schon? (würde mich sehr wundern)

Außerdem sorgt nicht throttled dafür, dass die Firewall mit dieser Regel konfigurierbar bleibt, sondern es liegt wohl daran, dass divert rules offensichtlich nicht dazu führen, dass Systemeinstellungen die Firewallkonfiguration sperren.

Ich finde die Sperre übrigens ganz gut.
Was würde denn passieren, wenn man auf der Kommandozeile (oder mit irgendwelchen Frontends) ne Menge Regeln konfiguriert, die dann in den Systemeinstellungen nicht angezeigt würden?
Das würde doch nur zu Verwirrung und Fehlkonfigurationen führen, oder?

 

[starbuxx]

maceis, oneoeight, jannis: klaert mich mal auf!

wozu braucht jannis denn aktives ftp? reichts nicht einfach die verbindung PASV herzustellen und gut?

auch wenn mich die loesung sonst interessiert, aber ich versteh' die verrenkungen grad nicht.

gruessle,
sbx

 

[maceis]

...
wozu braucht jannis denn aktives ftp? reichts nicht einfach die verbindung PASV herzustellen und gut?
...

aktives FTP braucht man, wenn sich der FTP Server hinter einem Router mit NAT (oder einem anderen NAT Gerät) befindet.
Bei passivem FTP wird der Datenkanal vom Client auf einem nicht vorhersehbaren Port eingerichtet.

 

[starbuxx]

aktives FTP braucht man, wenn sich der FTP Server hinter einem Router mit NAT (oder einem anderen NAT Gerät) befindet.

das ist merkwuerdig. mein ftpserver steht auch hinter meinem router, port 21 ist geforwarded. klappt mit PASV wunderbar.

hab' ich nen denkfehler? ich schick gern adresse und nen gastlogin per PM, wenn du schaun magst.

gruesse,
sbx

 

[jlepthien]

das ist merkwuerdig. mein ftpserver steht auch hinter meinem router, port 21 ist geforwarded. klappt mit PASV wunderbar.

hab' ich nen denkfehler? ich schick gern adresse und nen gastlogin per PM, wenn du schaun magst.

gruesse,
sbx

du hast warscheinlich einen "billig" router der eh alles nach aussen durchlaesst. bei aktivem ftp wird die verbindung von port 20 des servers aus auf einen port >1023 beim client aufgebaut.

 

[starbuxx]

du hast warscheinlich einen "billig" router

aeh!? ja. wrt54gs halt.

auf jeden fall hab' ich ihn so konfiguriert das verbindungen von innen vertraut wird. das stimmt.

aber was hat denn jannis da rumstehen? ich wuerd' das mal kapieren wo eigentlich das problem liegt. das mit active ftp ist mir ja klar.

 

[maceis]

das ist merkwuerdig. mein ftpserver steht auch hinter meinem router, port 21 ist geforwarded. klappt mit PASV wunderbar.

hab' ich nen denkfehler? ich schick gern adresse und nen gastlogin per PM, wenn du schaun magst.

Läuft dein Mac OS X Firewall?
Falls ja, mach doch mal folgendes im Terminal und poste da Ergebnis:

sudo ipfw list

@Radiohead Das Problem bei PASV ist nicht das Hinauskommen, sondern das Hereinlassen, da alle Verbindungen vom Client initiiert werden.

 

[jlepthien]

[...]

@Radiohead Das Problem bei PASV ist nicht das Hinauskommen, sondern das Hereinlassen, da alle Verbindungen vom Client initiiert werden.

deshalb habe ich ja auch vom aktiven ftp geschrieben