[w2k3] Poort range openen in firewall - Netwerken

maandag 30 oktober 2006 11:55

Acties:

Skabouter

Topicstarter

Beste Tweakers,

Ik ben bezig met het opzetten van een FTP server in Windows 2003 server, waarbij ik een specifieke range aan poorten moet openzetten. Tot mijn verbazing kan ik via "Routing & Remote access" wel poorten openen, maar geen poort range.

Ik heb gezocht op GOT & Google, hierbij heb ik wel wat handleidingen gevonden om via IIS een poortrange te kunnen openen, maar op deze server is geen IIS geïnstalleerd, dus dit is geen oplossing.

Weet iemand of en hoe het mogelijk is om en poort range te openen in de Windows 2003 server firewall? Want 1000+ poorten openen met de hand is natuurlijk geen doen....

Oeps, onder verkeerde forum gepost, verplaatst naar Windows

[ Voor 154% gewijzigd door skabouter op 30-10-2006 14:40 ]

[ Dislect ]

maandag 30 oktober 2006 13:58

Acties:

skabouter

Skabouter

Topicstarter

Vraag in Netwerken even een move aan als je denkt dat dat beter is

bij deze!

[ Dislect ]

maandag 30 oktober 2006 13:59

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Beste Tweakers,

Ik ben bezig met het opzetten van een FTP server in Windows 2003 server, waarbij ik een specifieke range aan poorten moet openzetten. Tot mijn verbazing kan ik via "Routing & Remote access" wel poorten openen, maar geen poort range.

Ik heb gezocht op GOT & Google, hierbij heb ik wel wat handleidingen gevonden om via IIS een poortrange te kunnen openen, maar op deze server is geen IIS geïnstalleerd, dus dit is geen oplossing.

Weet iemand of en hoe het mogelijk is om en poort range te openen in de Windows 2003 server firewall? Want 1000+ poorten openen met de hand is natuurlijk geen doen....

(was eerst geplaatst onder netwerken)

offtopic:
Dat is dus de TS zijn vraag

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

maandag 30 oktober 2006 14:04

Acties:

Luppie

www.msxinfo.net

Als je 1000+ poorten wilt openen zet je toch gewoon je Firewall uit !!

Heb je iets aan mijn antwoord ? Een thumbs-up wordt zeker op prijs gesteld.

maandag 30 oktober 2006 14:06

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Antwoord:
Heb je dit al gevonden:

gjs schreef op zondag 22 juni 2003 @ 14:51:
Zoek even op PassivePortRange in de help...

The PassivePortRange property specifies the range of data ports to be used by the FTP service in response to PASV commands.

PASV FTP requires the server to open a data port for the client to make a second connection. This is a separate connection than the typical port 21 that is used for the control channel. The second connection is used when data files are transferred back to the client. By configuring the port range, you can write firewall and router rules to allow external clients access only to the ports they need and reduce the attack surface available to malicious users. In other words, if you have applications other than FTP that are using the default port range of 1025-5000, and do not want to expose these ports through your firewall in order to enable PASV FTP, you can use this value to change the range that you must open through your firewall. If this value is not specified, or is set to an empty string, the default value of 1025-5000, as specified by Winsock, is used. If this property is specified, the valid range that FTP will validate is from 5001 to 65535 (see StartingNumber and EndingNumber below), and may be a range or a single number.

Important This property can be set only at the service level. In order to make the changes effective, the service must be restarted. If the value is invalid, the service will invalidate it and will not restart

?

En check dit even:

quote: http://radcom.ir/weblog/majid/archive/2005/12/24/13331.aspx
n order to enable FTP on your windows 2003 server, first you should install FTP publishing service. By default FTP service on windows 2003 server can establish active and passive connections. Default port range which is used by FTP service in passive mode is 1024 ~ 5000. You can change this range in IIS meta base. To change this range do the following steps:

a) Enable Direct Metabase Edit
1. Open the IIS Microsoft Management Console (MMC).
2. Right-click on the Local Computer node.
3. Select Properties.
4. Make sure the Enable Direct Metabase Edit checkbox is checked.

b) Configure PassivePortRange via ADSUTIL script
1. Click Start, click Run, type cmd, and then click OK.
2. Type cd Inetpub\AdminScripts and then press ENTER.
3. Type the following command from a command prompt.
Cscript.exe adsutil.vbs set /MSFTPSVC/PassivePortRange "5500-5700"
4. Restart the FTP service.

If your windows server is behind firewall, you should open these ports in firewall, and if you have enabled internal windows firewall, then you should open these ports in windows firewall too.

When I wanted to open passive port range in windows internal firewall, I found that there is no way to define a port range in firewall’s exceptions section, (where you can define ports that do not want to protect with windows firewall). In Linux it’s easy to define a port range in IPTABLES (Linux internal firewall), you can use : to define a port range. For example 1024:5000, I wonder how a perfect operating system such as windows 2003 server does not have a mechanism to define a port range in it’s internal firewall ! If you want to define a port range, you should define each port separately in firewall exception !

After a few searches I found that when you define a port in windows internal firewall exception part, it creates a key in registry which defines rule for protecting your defined port. So I thought that it is possible to write a program which creates these keys in registry automatically to bypass the tedious work of port range defining.
I’ll be thankful if somebody suggests a better solution to enable a port range in windows firewall. For more information visit the following pages:

How To Configure PassivePortRange In IIS
Configuring FTP Site Properties (IIS 6.0)

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

maandag 30 oktober 2006 14:33

Acties:

skabouter

Skabouter

Topicstarter

Cobra_Lup schreef op maandag 30 oktober 2006 @ 14:04:
Als je 1000+ poorten wilt openen zet je toch gewoon je Firewall uit !!

Ja natuurlijk, lijkt me een echte aanrader

Deze range aan poorten zit natuurlijk niet in de default range he.. dat verkleind de kans op mogelijke aanvallen in ieder geval.

Outerspace schreef op maandag 30 oktober 2006 @ 14:06:
Antwoord:
Heb je dit al gevonden:

[...]

?

En check dit even:

[...]

Bedankt voor het opnieuw aangeven van de vraag! (was ik nog even vergeten)

De eerste quote die je geeft gaat over PASV in het algemeen, ik ben hier bekend mee, en weet dus welke poorten ik wel/niet moet openen en waar ik dat moet doen.

Je tweede quote gaat net als de link in mijn start post over IIS en dat is jammer genoeg geen optie (ik gebruik nu FileZilla als alternatief).

Ben nu een ruime tijd aan het zoeken, maar een goede oplossing ben ik nog steeds niet tegengekomen

[ Dislect ]

maandag 30 oktober 2006 14:45

Acties:

Verwijderd

Vergeet het maar, gaat niet werken. Wordt niet ondersteunt door de build in firewall. Zal je dus een andere firewall moeten gebruiken als je dit voor elkaar wil krijgen. Of wellicht kan je, als je geen andere firewall hebt/wil kopen, met IPSEC iets voor elkaar krijgen.

Heb ik trouwens iets gemist? Kom niet meer zo vaak hier en plots is mijn icon + sig verdwenen

[ Voor 37% gewijzigd door Verwijderd op 30-10-2006 14:54 ]

maandag 30 oktober 2006 14:56

Acties:

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Verwijderd schreef op maandag 30 oktober 2006 @ 14:45:
Vergeet het maar, gaat niet werken. Wordt niet ondersteunt door de build in firewall. Zal je dus een andere firewall moeten gebruiken als je dit voor elkaar wil krijgen. Of wellicht kan je, als je geen andere firewall hebt/wil kopen, met IPSEC iets voor elkaar krijgen.

Heb ik trouwens iets gemist? Kom niet meer zo vaak hier en plots is mijn icon + sig verdwenen

offtopic:
je hebt ook maar 1 post? Dus het zou kunnen zijn dat je een kloontje had en dat die is verbannen.

Zoekt nieuwe collega's (jr/sr engineers, servicedeskmedewerkers of managers in de Randstad)

maandag 30 oktober 2006 15:00

Acties:

Verwijderd

Outerspace schreef op maandag 30 oktober 2006 @ 14:56:
[...]

offtopic:
je hebt ook maar 1 post? Dus het zou kunnen zijn dat je een kloontje had en dat die is verbannen.

1 post?!