Firewall im 1&1 Menü

[r00ty]

Hi Leute !
Seit kurzen gibt es ja die Möglichkeit im 1und1 Menü ne Firewallregeln einzustellen.
Soweit so gut. Leider kenne ich mich nicht wirklich gut aus, was das Thema bisher angeht, wenn z.b. jemand ne FTP Verbindung aufmacht über welche Ports der Rückkanal läuft und so. Somit weiss ich nicht wirklich welche Ports man sperren kann und welche nicht.
Mir wäre hier schon viel geholfen wenn der ein oder andere einfach seine (möglichst restriktiven) Firewallregeln mal posten könnte...

[nyxus]

wenn z.b. jemand ne FTP Verbindung aufmacht über welche Ports der Rückkanal läuft und so.

Ich weiss jetzt nicht welche Firewall 1+1 benutzt, aber ich gehe schon davon aus, dass Du gerade bei FTP nur die Control-Session (TCP/21) erlauben musst und die Data-Session von der Firewall selbst erlaubt wird. Sonst haette man das echt nicht Firewall nennen duerfen ...

[creek]

guck dir doch einfach die von 1und1 schon bereitstehenden regeln an da steht ja alles drin ;)

[yt]

Bei den 1&1-Regeln wird FTP nicht freigegeben. Ich habe einfach einen bestehenden Regelsatz um eine FTP-Regel erweitert, dann noch neuen Namen vergeben und fertig.

[streicher]

Ich weiss jetzt nicht welche Firewall 1+1 benutzt, aber ich gehe schon davon aus, dass Du gerade bei FTP nur die Control-Session (TCP/21) erlauben musst und die Data-Session von der Firewall selbst erlaubt wird.

Ich habe die bestehende Regel einfach um TCP/21 erweitert. Nun kann ich zwar per FTP zugreifen, aber nur, wenn ich den Passive Modus in meinem FTP-Programm abschalte.
Das ließe sich noch verschmerzen, aber das einfach Backup-Skript von 1&1 für den Backup-Space kann nun nicht mehr auf den Backup-Server zugreifen., da kein Login mehr möglich ist. Weiß hier jemand Abhilfe?

[nyxus]

Ich habe die bestehende Regel einfach um TCP/21 erweitert. Nun kann ich zwar per FTP zugreifen, aber nur, wenn ich den Passive Modus in meinem FTP-Programm abschalte.

Das klingt dann natuerlich mehr nach einfachem Paketfilter als nach Firewall was 2oder3 da gemacht hat.

[buddaaa]

Ich habe die bestehende Regel einfach um TCP/21 erweitert. Nun kann ich zwar per FTP zugreifen, aber nur, wenn ich den Passive Modus in meinem FTP-Programm abschalte.
Das ließe sich noch verschmerzen, aber das einfach Backup-Skript von 1&1 für den Backup-Space kann nun nicht mehr auf den Backup-Server zugreifen., da kein Login mehr möglich ist. Weiß hier jemand Abhilfe?

erlaub doch einfach der IP des backup-servers alle ports (oder nur 20,21 und > 1024 aber da man auf 20 regeln beschraenkt ist ... )

schwieriger ist es schon eingehend FTP zu erlauben, da taugt anscheinend nur die regel:
quellports >1024
zielports > 1024
allow

damit ist natuerlich halb polen offen ;)

scheinen wirklich nur ACLs auf einem router zu sein und keine schisco firewall, selbst die mistdinger koennen mit FTP umgehen.

[alexander newald]

Was aber wirklich gut ist, dass Traffic, der geblockt wird, nicht gezählt wird.

[r00ty]

schwieriger ist es schon eingehend FTP zu erlauben, da taugt anscheinend nur die regel:
quellports >1024
zielports > 1024
allow

hmm genau, ^^^^ sowas hatte ich in Erinnerung - und das ist nämlich ziemlich albern.
Denn ich brauche FTP und dann muss ich alle oberen Ports aufmachen - was ich ja eigentlich nicht will...

[streicher]

erlaub doch einfach der IP des backup-servers alle ports (oder nur 20,21 und > 1024 aber da man auf 20 regeln beschraenkt ist ... )

Danke, ich wrde es mal probieren. Ist aber schon komisch, daß 1&1 Firewalls und vordefinierte Regeln anbietet und dadurch den Backupserver aussperrt. Das ist ein wenig kurzsichtig.

[Joe User]

Warum konfiguriert Ihr Euren FTPd nicht vernünftig, indem Ihr die Portrange für passive Verbindungen beschränkt?

[r00ty]

danke für den Hinweis
für vsftp:

Code: Select all

#pasv_max_port â?? Specifies the highest possible port sent to the FTP clients for passive mode connections. This setting is used to limit the port range so that firewall rules are easier to create.
The default value is 0, which does not limit the highest passive port range. The value must not exceed 65535.


#pasv_min_port â?? Specifies the lowest possible port sent to the FTP clients for passive mode connections. This setting is used to limit the port range so that firewall rules are easier to create.
The default value is 0, which does not limit the lowest passive port range. The value must not be lower 1024. 

pasv_min_port=27600
pasv_max_port=27699

^^^ das sind dann die outgoing ports, oder ?

[Joe User]

Ja.

[nyxus]

pasv_min_port=27600
pasv_max_port=27699

In der FW-Config waeren das allerdings immer noch 100 offene Ports zuviel!
Aber naja, geschenkter Gaul und so ...

[Joe User]

Nun, wenn man passives FTP will, bleibt einem eben keine andere Wahl...

[giffi]

Wie viele Ports sollte man denn mindestens freigeben?
Sehe ich das richtig, daß pro Connection/User 1 Port benötigt wird?

Giffi

Edith sagt mir gerade, daß man bei 2+3 sowieso nur einzelne Ports angeben
kann, was ziemlicher Schwachsinn ist.

[r00ty]

das ist ein Scherz, dass man keine Portranges angeben kann im 1und1 Menü, oder ?

[mc5000]

no! its not a joke its a feature!

Du sagt alle Ports, oder Ein Port, oder Alle Ports >= 1024 - oder du sagst gar nix mehr 8O

[Anonymous]

schon ne idee? =)

wäre auch mal interessant zu wissen was 1und1 zu der sache sagt, weil nutzbar is das feature nicht wirklich.

[texmecx]

das ist ein Scherz, dass man keine Portranges angeben kann im 1und1 Menü, oder ?

...naja, wenn man die Richtung angeben könnte, dann könnte man auf die Portrange auch verzichten.

[Joe User]

wenn man die Richtung angeben könnte

Man kann...

[texmecx]

wenn man die Richtung angeben könnte

Man kann...

..kann man nicht. Alle Regeln sind immer bidirectional.

Ist wahrscheinlich absichtlich so gemacht worden damit der Support weniger zu tun hat und es weniger ACL's auf dem Router gibt, denn es reduziert die möglichen Fehler.

Andernfalls müsste man übrigens pro Protokoll für jede Richtung eine Filterregel setzen.