:strip_exif()/u/8422/waarschuwing.gif?f=community)
Vaag probleempje.
Ik ben een juniper aan't configureren om FTP verkeer toe te staan.
Dit moet uiteraard passive FTP zijn omdat anders geen enkele eindgebruiker zal kunnen downloaden.
De client connecteerd op het publiek ip adress port 21 hetgeen de firewall source nat naar het interne ip adres van de server op poort 6112 (b.v.).
Deze connectie werkt. Ik zioe de directory structuur en kan deze navigeren.
Als ik echter iets wil downlaoden geeft de client aan dat dit passive dient te gebeuren. De server ontvangt dit en reageert zoals geconfigureerd met een poort uit de passive range (6113-6123).
227 Entering Passive Mode met hierbij het INTERN ip adres en de juiste poort (b.v. 6113).
De firewall vertaalt dit interne source ip adres correct naar het externe source ip adres.
Ik zie op mijn pc dus ook netjes dit pakketje terugkomen vanaf extern-ip poort 21.
Als ik echter in dit pakketje ga kijken dan is de passive port die de server aangaf (6113) aangepast naar een random poort (b.v. 49132).
Dit is uiteraard niet de bedoeling want dan kan ik niet een zeer beperkte range poorten openen op de firewall maar zou'k ALLE razdom poorten moeten openen om ftp transfers te doen werken.
De enige uitleg hiervoor die ik kan bedenken is dat de juniper dit port nummer (DATA in het pakketje dus!) aanpast voor het buitengestuurd word, maar waarom dit zou gebeuren of beter nog, hoe ik het kan oplossen.. daar heb'k jullie hulp voor bij nodig.
UPDATE: als ik op de firewall port 6112 gebruik ipv port 21 en dan geen applicatie instel op policy niveau dan werkt alles wel.
Ik krijg dan in wireshark trouwens te zien dat het intern server ip adres wordt doorgegeven samen met de juiste port voor passief connections. Dit is dus in het "227 Entering Passive Mode" pakketje waar eerder het externe ip adres met een random port terug te vinden was.
Helaas is het gebruik van port 6112 niet standaard en dus geen optie.
Ik ben een juniper aan't configureren om FTP verkeer toe te staan.
Dit moet uiteraard passive FTP zijn omdat anders geen enkele eindgebruiker zal kunnen downloaden.
De client connecteerd op het publiek ip adress port 21 hetgeen de firewall source nat naar het interne ip adres van de server op poort 6112 (b.v.).
Deze connectie werkt. Ik zioe de directory structuur en kan deze navigeren.
Als ik echter iets wil downlaoden geeft de client aan dat dit passive dient te gebeuren. De server ontvangt dit en reageert zoals geconfigureerd met een poort uit de passive range (6113-6123).
227 Entering Passive Mode met hierbij het INTERN ip adres en de juiste poort (b.v. 6113).
De firewall vertaalt dit interne source ip adres correct naar het externe source ip adres.
Ik zie op mijn pc dus ook netjes dit pakketje terugkomen vanaf extern-ip poort 21.
Als ik echter in dit pakketje ga kijken dan is de passive port die de server aangaf (6113) aangepast naar een random poort (b.v. 49132).
Dit is uiteraard niet de bedoeling want dan kan ik niet een zeer beperkte range poorten openen op de firewall maar zou'k ALLE razdom poorten moeten openen om ftp transfers te doen werken.
De enige uitleg hiervoor die ik kan bedenken is dat de juniper dit port nummer (DATA in het pakketje dus!) aanpast voor het buitengestuurd word, maar waarom dit zou gebeuren of beter nog, hoe ik het kan oplossen.. daar heb'k jullie hulp voor bij nodig.
UPDATE: als ik op de firewall port 6112 gebruik ipv port 21 en dan geen applicatie instel op policy niveau dan werkt alles wel.
Ik krijg dan in wireshark trouwens te zien dat het intern server ip adres wordt doorgegeven samen met de juiste port voor passief connections. Dit is dus in het "227 Entering Passive Mode" pakketje waar eerder het externe ip adres met een random port terug te vinden was.
Helaas is het gebruik van port 6112 niet standaard en dus geen optie.
[ Voor 14% gewijzigd door witchdoc op 01-09-2010 18:10 ]
?? (show configuration | display set | match .... en/of show configuration firewall filters)