Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 575 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FTP Portumleitung

markus607
Hallo zusammen!

Ich habe bereits verschiedene Beiträge mit Portumleitungen in diesem Forum gelesen, habe aber ein leicht anderes Problem.

Ich möchte einen FTP-Server von Extern über den Port 4711 erreichen obwohl der FTP-Server intern auf Port 21 läuft.
Dafür habe ich eine entsprechende DNAT und Paketfilter-Regel erstellt.
Leider wird durch die Paketfilterregel (Port 21->FTP-Server) zugelassen, dass auch aus meinem internen Netzwerk per Port 21 auf den FTP Server zugegriffen werden kann.

Wie kann ich das umgehen? 
Ziel ist es den Server nur noch für die Firewall über Port 21 erreichbar zu machen, damit diese die Umleitung von Port 4711 auf Port 21 durchführen kann.
Das letzte Häk'chen bei DNAT aktiviert eine Paketfilterregel, die leider auch direkt Port 21 für das interne Netz freischaltet.

Vielen Dank im Voraus für Eure Hilfe!
Viele Grüße
Markus


This thread was automatically locked due to age.
Parents
  • 0
    Hi Markus,

    security by obscurity... Du weißt schon, dass nmap auch eine Option hat, die Banner ausliest, gelle?

    Zwei Ideen dazu (noch nicht selbst versucht):
    a) Baue eine zweite NAT Regel, die Zugriffe auf Port 21 ins Nirvana schickt
    b) arbeite mit einer virtuellen IP Adresse auf der Firewall, "Additional Address" auf ein Interface gebunden und verbinde auf diese statt auf den eigentlichen Zielserver von aussen / Deinem Netz.

    Vielleicht funktioniert ja eine der beiden Ideen.
    Christian
Reply
  • 0
    Hi Markus,

    security by obscurity... Du weißt schon, dass nmap auch eine Option hat, die Banner ausliest, gelle?

    Zwei Ideen dazu (noch nicht selbst versucht):
    a) Baue eine zweite NAT Regel, die Zugriffe auf Port 21 ins Nirvana schickt
    b) arbeite mit einer virtuellen IP Adresse auf der Firewall, "Additional Address" auf ein Interface gebunden und verbinde auf diese statt auf den eigentlichen Zielserver von aussen / Deinem Netz.

    Vielleicht funktioniert ja eine der beiden Ideen.
    Christian
Children
No Data