FTP-Volumes durch Firewall mounten

[muellermanfred]

Moin.

Ich möchte ein FTP-Volume bei Anmeldung automatisch mounten lassen. Leider ist da die Firmen-Firewall im Weg ...

Zwei Fragen habe ich:
- Kann man das in einem Link darstellen?
- Kann man das evtl. mit einem Skript machen.

So sieht der Ablauf aus, wenn ich das per Terminal mache:

[muellermac:~] muellerm% ftp proxy.firma.com
Connected to proxy.firma.com.
220 Check Point FireWall-1 Secure FTP server running on proxy
Name (proxy.firma.com:muellermanfred): <firewall_user>@remotehost.firma.com
331 password: you can use FW-1-password
Password:
230-User <firewall_user> authenticated by FireWall-1 authentication
230-Connected to server. Logging in...
230-220-<Remotefirma> FTP (Authorised access only)
230 220 Filezilla <Service>
Remote system type is UNIX.
ftp> user <remote_user>
331 Password required for <remote_user>
Password: 
230 Logged on

Da sind vier Stellen, wo ich eine Eingabe machen muß. Läßt sich das per Skript bewerkstelligen, daß das ohne Eingabe geht? In einem Client wie z.B. Fetch kann ich Firewall-Usernamen und -Paßwort eintragen, aber damit kann ich ja leider kein Volume mounten ...

Alternativ würde ich das in einem Link darstellen, aber wie soll das gehen? Der Link auf den remote host wäre

ftp://<remote_user>:<remote_password>@remotehost.firma.com

Der auf die Firewall:

ftp://<firewall_user>:<firewall_password>@proxy.firma.com

Dummerweise macht der zweite Link keinen Sinn, weil der proxy ja nur den remote host aufruft, selber aber gar kein ftp bereitstellt - einen Verbindungsversuch bricht OS X mit Fehler -36 ab ... Kann man die Links trotzdem kombinieren?

Für Tips schonmal vielen Dank!

 

[oneOeight]

hast du es schon mal mit den ftp proxy einstellungen in der netzwerk-konfiguration probiert?
müsste dann der finder nicht automatisch den proxy nehmen und du dann ganz normal eine URL verwenden können?

 

[muellermanfred]

Hab ich probiert. Keine Verbindung.

Wie gesagt: per Client oder Terminal klappt alles. Aber ich brauch' ein Volume auf dem Schreibtisch ...

 

[magheinz]

Moin.

Ich möchte ein FTP-Volume bei Anmeldung automatisch mounten lassen. Leider ist da die Firmen-Firewall im Weg ...

hmm, wenn die Firewall das unterbindet hat das vermutlich einen Grund(Firmenpolicy).
Wenn du der Admin bist konfigurier die Firewall so dass es geht, wenn nicht frag den zuständigen Admin ob er das macht.
Die Firewall zu umgehen könnte sonst Ärger machen (Abmahnung, Kündigung im Wiederholungsfall usw).

 

[muellermanfred]

Leider bin ich nicht der Admin. Der sitzt in den USA ...

Es gibt eine Liste erlaubter Protokolle, die alle über einen Port geführt werden. FTP gehört dazu. Wir haben es also zum Glück nicht mit einer Regelverletzung zu tun.

Ich kann theoretisch all das tun, was ich brauche, nur eben diese spezielle Anforderung läßt sich nicht erfüllen.

 

[magheinz]

Leider bin ich nicht der Admin. Der sitzt in den USA ...

Dank ssh & Co ist es egal wo der sitzt.

Es gibt eine Liste erlaubter Protokolle, die alle über einen Port geführt werden.

?

FTP gehört dazu. Wir haben es also zum Glück nicht mit einer Regelverletzung zu tun.

Ich kann theoretisch all das tun, was ich brauche, nur eben diese spezielle Anforderung läßt sich nicht erfüllen.

Wenn es erlaubt ist, dann kann der Admin auch die technischen Möglichkeiten dazu schaffen. FTP auf der Firewall freizugeben ist jetzt nicht wirklich so eine Kunst.

Davon abgesehen:
Müsste nicht

ftp://proxyuser@remotehost@proxy

funktionieren?
Also als Username auf dem proxy + remotehost.
Ich meine mich zu erinnern das der checkpoint-ftp-proxy das so macht.
Bin aber nicht ganz wegen der Syntax sicher.

Ansonsten
Kannst du per ssh irgendwie raus aus dem Netz? Wäre da ein portforwarding ne Möglichkeit oder tunneln?
Das ist aber dann aber alles nicht wirklich sauber.
Das Sinnvollste ist es die Firewall entsprechend zu konfigurieren.

 

[muellermanfred]

FTP auf der Firewall freizugeben ist jetzt nicht wirklich so eine Kunst.

Klar.

Aber die wollen nicht. Aller Verkehr von innen nach außen muß über einen Port. Und für ftp haben sie eben einen besonderen Proxy vorgesehen.

Bin aber nicht ganz wegen der Syntax sicher.

Ich probier gerade alles mögliche durch - dein Vorschlag funktioniert leider nicht.

Beide Paßwörter, für den proxy udn für den FTP-Host, liegen im Schlüsselbund - die müssen also schonmal nicht in den Link. Ich geh jetzt alle Möglichkeiten durch ...

 

[magheinz]

Klar.

Aber die wollen nicht. Aller Verkehr von innen nach außen muß über einen Port. Und für ftp haben sie eben einen besonderen Proxy vorgesehen.

Seltsam, aber egal, muss ich ja nicht verstehen. Wenn er schon nix an der Firewall tun möchte, dann soll er doch wenigstens eine Anleitung schicken wie man den jetzt FTP nutzt, wenns schon erlaubt ist.

Ich probier gerade alles mögliche durch - dein Vorschlag funktioniert leider nicht.

Beide Paßwörter, für den proxy und für den FTP-Host, liegen im Schlüsselbund - die müssen also schonmal nicht in den Link. Ich geh jetzt alle Möglichkeiten durch ...

Das für den remote wirst du vermutlich eingeben müssen. Ich wüsste grad anders gehen sollte.

Nutzt ihr eigentlich für http auch einen Proxy?
Schon mal versucht über den zu gehen?

 

[Olivetti]

... per Client oder Terminal klappt alles.

Schau doch mal in Deinem Client ins Logfile, vielleicht steht da eine passende URL drin wie er sich anmeldet.

 

[magheinz]

Schau doch mal in Deinem Client ins Logfile, vielleicht steht da eine passende URL drin wie er sich anmeldet.

Ich bezweifel mal das ftp ein logfile hat.
ausserdem weiss er doch die urls:
proxy.firma.com
und da meldet er sich mit $USERNAME@remotehost.firma.com an.
die checkpoint erkennt anhand des usernamens dass sie eine Verbindung zum remote-ftp-server aufbauen soll.
Deswegen ja der Versuch mit USERNAME@remoteftp@proxy

@muellermanfred
Welche Shell verwendest du unter OSX?
Versuch doch mal eine Umgebungsvariable zu setzen mit

export ftp_proxy=proxyuser:proxypassword@proxy

und mach dann einfach

ftp remoteuser:remotepassword@remotehost

 

[muellermanfred]

Wenn er schon nix an der Firewall tun möchte, dann soll er doch wenigstens eine Anleitung schicken wie man den jetzt FTP nutzt, wenns schon erlaubt ist.

Die Anleitung gibt es. Dank ihrer kann ich ja per Terminal FTP nutzen (siehe Codeschnippel im ersten post). Und mit Clients, die Proxy-Einstellungen erlauben (aktuell Fetch). Alles kein Problem.

Das für den remote wirst du vermutlich eingeben müssen.

Ich habe diese Varianten durch:

- fireID@remotehost -> Verbindung unterbrochen
- remoteID@remotehost -> Verbindung unterbrochen
- remoteID@fireID@remotehost -> Verbindung unterbrochen (und er versucht nur den User "fireID" am remote host anzumelden, was ja Quatsch ist)
- fireID@remotehost@proxy -> Fehler -43 "1 oder mehrere Objekte nicht gefunden"
- remotehost@proxy -> Fehler -43 "1 oder mehrere Objekte nicht gefunden"
- remoteID:remote_pwd@remotehost -> Verbindung unterbrochen

Und fast jedesmal kann ich danach den Finder neu starten, weil er hängt.

Nutzt ihr eigentlich für http auch einen Proxy?
Schon mal versucht über den zu gehen?

Ja. Alle zugelassenen Dienste gehen über ein und dieselbe Proxy-Adresse und denselben Port. Der FTP-Proxy unterscheidet sich von den anderen lediglich dadurch, daß an seinem Hostnamen 'ne Ordnungsnummer dranhängt.

Mir reicht's für heute. Vielen lieben Dank für Tips und Interesse! Ich brauch jetzt ein Bier ...

EDITH sagt:
@magheinz: Sorry für unpräzises Beschreiben! Wenn im terminal, dann tcsh. Das alles bezieht sich aber auf den Versuch, die FTP-Verbindung auf Finderebene herzustellen (per Befehl-K).

 

[muellermanfred]

Welche Shell verwendest du unter OSX?
Versuch doch mal eine Umgebungsvariable zu setzen mit

export ftp_proxy=proxyuser:proxypassword@proxy

und mach dann einfach

ftp remoteuser:remotepassword@remotehost

Wie gesagt: tcsh.

"export" wird quittiert mit "Command not found".

 

[magheinz]

Mir reicht's für heute. Vielen lieben Dank für Tips und Interesse! Ich brauch jetzt ein Bier ...

Prost, mach mich jetzt auch auf den weg zum Biergarten.

@magheinz: Sorry für unpräzises Beschreiben! Wenn im terminal, dann tcsh. Das alles bezieht sich aber auf den Versuch, die FTP-Verbindung auf Finderebene herzustellen (per Befehl-K).

Wäre ja nicht schlecht wenn wir wenigstens schon mal eien ordentliche Verbindung auf der Konsole hinbekommen.
Die dann auf den finder zu übertragen wäre der nächste Schritt.
Ausserdem, wenns per Konsole geht, wozu noch finder

 

[muellermanfred]

Wäre ja nicht schlecht wenn wir wenigstens schon mal eien ordentliche Verbindung auf der Konsole hinbekommen.

Ham wir ja:

Ich zitiere mich selber:

[muellermac:~] muellerm% ftp proxy.firma.com
Connected to proxy.firma.com.
220 Check Point FireWall-1 Secure FTP server running on proxy
Name (proxy.firma.com:muellermanfred): <firewall_user>@remotehost.firma.com
331 password: you can use FW-1-password
Password:
230-User <firewall_user> authenticated by FireWall-1 authentication
230-Connected to server. Logging in...
230-220-<Remotefirma> FTP (Authorised access only)
230 220 Filezilla <Service>
Remote system type is UNIX.
ftp> user <remote_user>
331 Password required for <remote_user>
Password: 
230 Logged on

Ist halt nur anonymisiert. Aber alles funktioniert prächtig. Nur eben von Hand. Und nachts will ich nicht im Büro sein ...

Laß Dir das Bier schmecken!

 

[starbuxx]

ehm. *räusper. ich hätt' da noch ein bischen senf ...

1.) eine checkpoint firewall ist kein kindergarten. wer so etwas einsetzt, will sein unternehmen wirklich absichern. und deswegen denke ich auch, dass es der admin 2.) überhaupt nich ok findet, wenn sich jemand versucht im PLAINTEXT an einem ftp server zu identifizieren.

das geht sinnvoll nur auf 3 wegen: a) dienst über ssh tunneln (wenn zielrechner von aussen über SSH erreichbar), von mir aus auch noch b) SFTP, aber irchtig wirklich und in echt geht nur c) VPN. viele checkpoint produkte haben bereits ein VPN gateway. das einzige was also helfen dürfte, wäre: admin fragen, wie du an eine VPN verbindung kommst.

just my 2 cents,
sbx

 

[Olivetti]

Ich bezweifel mal das ftp ein logfile hat.
ausserdem weiss er doch die urls:

Ich meinte ja auch ein FTP-Programm wie Transmit, Cyberduck, o. ä.
Die machen alle Logfiles. Habe mich da wohl etwas vage ausgedrückt.
Aber bei muellermanfred geht's ja mit fetch (logfile???)

Und ausserdem scheint hier keiner mehr den Thread-Anfang zu lesen.
Terminal geht (und KLARTEXT darf er wohl auch drauf. Wie auch sonst mit ftp?)
Client (Fetch) geht.
Nur Finder-URL will er halt haben.

 

[starbuxx]

@olivetti
hm. du hast wohl recht. ich hab den thread anfang zwar gelesen aber wohl offensichtlich falsch oder zumindest nicht gruendlich genug.

dann hilft wohl nur ein bash-skript.

sbx

 

[muellermanfred]

Ich will niemand Kompetenten verschrecken, mir zu helfen, deshalb:

Was ich tue, ist erlaubt. Die Anleitung für FTP auf der Kommandozeile stammt von der IT selber, ich hab' sie nur für OS X umgesetzt.

Aber mehr als das gewähren sie auch nicht, dafür ist das Projekt viel zu unbedeutend.

Einen VPN-Tunnel würden sie bereitstellen, wenn ich in Kauf nehme, daß die Abteilung dafür einen fünfstelligen Dollarbetrag once-off und einen vierstelligen monatlich berappt. Das ist völlig überzogen.
(Und jetzt grübele ich, wie man wohl ein VPN mit Bordmitteln bastelt ...)

Also low-level ...

Auf Finderebene möchte ich das realisieren, weil unter uns keine Kommandozeilen-Experten sind.

Nein, Mac-Support gibt es keinen. Dies ist offiziell ein macfreies Unternehmen. Die Mac-"Inseln" laufen nur mit Ausnahmegenehmigungen (Macs sind nämlich unsicher ...). Support machen wir selber. Mit Nadel und Faden sozusagen.

 

[Olivetti]

@olivetti
dann hilft wohl nur ein bash-skript.

Nein, immer noch nicht ganz. Terminal (ftp) geht ja, also über Inputscript würde es auch gehen.
muellermanfred braucht sowas (wie schon ganz oben angedeutet):
ftp userassword@host
in der Variante mit eingebautem Firewall einloggen.
Wenn diese Form bekannt ist und funktioniert, dann besteht die Möglichkeit das Ganze per Finder-Fenster zu öffnen und darzustellen.
Meine Überlegung war nun im Client-Logfile von z.B. Fetch nachzuschauen, ob es da nicht eine wohlgeformte URL gibt. Ich habe da Filezilla im Hinterkopf, der das so macht. Vielleicht ist es jetzt klarer.

 

[muellermanfred]

@olivetti:
Jetzt bin ich zuhause, aber ich werde das gleich morgen früh checken. Die Idee ist ja richtig.