Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 575 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP Portumleitung

markus607
Hallo zusammen!

Ich habe bereits verschiedene Beiträge mit Portumleitungen in diesem Forum gelesen, habe aber ein leicht anderes Problem.

Ich möchte einen FTP-Server von Extern über den Port 4711 erreichen obwohl der FTP-Server intern auf Port 21 läuft.
Dafür habe ich eine entsprechende DNAT und Paketfilter-Regel erstellt.
Leider wird durch die Paketfilterregel (Port 21->FTP-Server) zugelassen, dass auch aus meinem internen Netzwerk per Port 21 auf den FTP Server zugegriffen werden kann.

Wie kann ich das umgehen? 
Ziel ist es den Server nur noch für die Firewall über Port 21 erreichbar zu machen, damit diese die Umleitung von Port 4711 auf Port 21 durchführen kann.
Das letzte Häk'chen bei DNAT aktiviert eine Paketfilterregel, die leider auch direkt Port 21 für das interne Netz freischaltet.

Vielen Dank im Voraus für Eure Hilfe!
Viele Grüße
Markus


This thread was automatically locked due to age.
  • 0
    Hi Markus,

    manuelle Paketfilterregel definieren, als Quelle das Internet und nicht das Any Objekt nehmen.
    Reicht das als Erklärung?

    LG
    Christian
  • 0 in reply to christianlouis
    Hallo Christian,

    vielen Dank für die Antwort.
    Aber das hilft mir leider nicht, weil ich dann nur noch über das Internet per Port 4711 auf den FTP-Server komme.

    Ich möchte aber aus dem internen Netz und aus dem Internet ausschließlich per Port 4711 auf den Server kommen.

    Gibt es dafür eine Möglichkeit?

    Viele Grüße
    Markus
  • 0
    Hallo Markus,

    auch wenn das jetzt vielleicht vermessen klingt, aber was ist der Grund, dass Du den Server nur via Port 4711 ansprechbar haben willst?

    Christian
  • 0
    Hallo Christian,

    meine Absicht ist, dass nicht jeder (z.B. per Portscan) sieht, dass auf dem Gerät ein FTP-Server läuft. Natürlich könnte ich den Port am Server umstellen, aber ich habe gehofft das wäre auch über die Firewall möglich.
  • 0
    Hi Markus,

    security by obscurity... Du weißt schon, dass nmap auch eine Option hat, die Banner ausliest, gelle?

    Zwei Ideen dazu (noch nicht selbst versucht):
    a) Baue eine zweite NAT Regel, die Zugriffe auf Port 21 ins Nirvana schickt
    b) arbeite mit einer virtuellen IP Adresse auf der Firewall, "Additional Address" auf ein Interface gebunden und verbinde auf diese statt auf den eigentlichen Zielserver von aussen / Deinem Netz.

    Vielleicht funktioniert ja eine der beiden Ideen.
    Christian