Ftp-server, application violation

ElPatron · Beitrag von **ElPatron** » 02 Mai 2011, 17:07

Moin,

es ist zum verzweifeln, ich erreiche den ftp-Server hinter unserem Router nicht. Port-Forwarding ist aktiverit, Firewall-Regeln lassen eingehenden und ausgehende Pakete in die DMZ zu, aber jeder Verbindungsversuch wird mit einer application violation bestraft:

Code: Alles auswählen

Packet's source address is blocked by rule application violation
DstIP: 217.86.153.154, SrcIP: 10.0.0.60, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 25422, SrcPort: 21, Flags: SA
Seq: 3225162889, Ack: 3155357935, Win: 65535, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: NOP
Option: SACK permitted

Die Anwendungseinstellungen habe ich wie folgt gesetzt:

Code: Alles auswählen

/Setup/IP-Router/Firewall/Applications/FTP
> ls

FTP-Block         VALUE:   off
Active-FTP-Block  VALUE:   off
Min-Port          VALUE:   1024
Check-Host-IP     VALUE:   off
FXP-Block         VALUE:   off

Hat jemand einen Tipp dazu?

Danke und Gruß,
Markus

backslash · Beitrag von **backslash** » 02 Mai 2011, 18:49

Hi ElPatron

da hast du dir offenbar selbst ein Bein gestellt, indem du als Aktion bei den Applikationen die Absenderadresse gesperrt hast (=> "Packet's source address is blocked"). Zum Thema IP-Adressen oder Ports bei Angriffen sperren kann ich immer nur sagen, daß soetwas einen DoS-Angriff überhaupt erst möglich macht - auch wenn die selbst ernannten Experten von Computer-Bild & Co das gerne anders sehen...

Hier solltest du als erstes diese Sperre rausnehmen und dann im Firewall-Trace schauen, weshalb die Firewall ursprünglich mal zugeschlagen hat. Vorher mußt du natürlich die Host-Block-Liste löschen (unter /Status/IP-Router/Host-Block-List). Da du alle Optionen, bis auf den Min-Port deaktiviert hast, dürfte der Server einen Port unterhalb von 1024 für die Datensession ausgewählt haben, was aus gutem Grund abgeblockt wird...

Gruß
Backslash

ElPatron · Beitrag von **ElPatron** » 03 Mai 2011, 09:25

Hi Backslash,

Danke für den Tipp, es lag wohl am Min-Port (jetzt 21) und der Tatsache, dass meine Testgegenstelle noch in der Block-List stand (ok, da hätte ich auch mal selbst drauf kommen können!).

Vielen Dank nochmal,

Markus

backslash · Beitrag von **backslash** » 03 Mai 2011, 11:35

Hi ElPatron

es lag wohl am Min-Port (jetzt 21)

also ganz ehrlich: Statt den Min-Port im LANCOM runterzusetzen, solltest du eher den FTP-Server so konfigurieren, daß er im Passive-Mode keine Ports unterhalb von 1024 für die Datensession auswählt - i.A. ist das bei FTP-Servern standardmäßig so eingestellt...

Die Defaulteinstellungen in der Firewall des LANCOMs für FTP sind so gewählt, daß sie mit jedem (korrekt arbeitenden) FTP-Server "out of the box" zusammenarbeiten und "nur" den Site-To-Site-Transfer (FXP) über das Internet unterbinden. Wenn deinServer damit ein Problem hat, dann solltest du den Server austauschen, statt die Firewall abzuschwächen...

Gruß
Backslash

ElPatron · Beitrag von **ElPatron** » 03 Mai 2011, 11:54

Moin Backslash,

mein ftp-Server benutzt Ports > 5000 für den passive mode. Ich gebe dann mal offen zu, dass sich mir der Sinn der Min-Port Einstellung vorher nicht gänzlich erschlossen hat.

Kleiner Hinweis an mitlesende Lancom Mitarbeiter: Die Hilfeseite im Lanconfig finde ich zu dem Thema eher verwirrend (immerhin ist etwas zu dem Thema hinterlegt) und das Handbuch schweigt sich zu dem Thema gänzlich aus. Auch der offizelle Knowledgebase Artikel zu dem Thema ist nicht sehr hilfreich. - Danke für die Aufklärung, Backslash.

Hab den Port jetzt auf 5000 gesetzt und es funktioniert (immer noch). Also scheiterten meine gestrigen Versuche an der Tatsache, dass meine Gegenstelle noch in der Blocklist stand.

Viele Grüße,
Markus

JanItor · Beitrag von **JanItor** » 27 Mär 2012, 11:35

Ich hänge mich mal hier an.

Habe ein ähnliches Problem. Application Violation bei FTP Verbindungen über Port 21. FTPES über Port 990 funktioniert!
Der FTP Server nimmt die eingehende Verbindung an und antwortet. Die Antwort bleibt dann in der FW hängen. Ich bin bis jetzt nicht dahinter gestiegen warum das so ist.
FW-Fehlermeldung :

03-27-2012 11:09:35 Local3.Info [ROUTER] PACKET_INFO: filter info: FTP: bad host address [FTP_CLIENT] requested from [FTP_SERVER] - not allowed on default route

Kann jemand helfen?

backslash · Beitrag von **backslash** » 27 Mär 2012, 12:07

Hi JanItor

hier fordert der Server - offenbar in der PASV-Antwort - die Firewall auf, eine Session an die IP des Clients zu öffnen (wenn deinen Angaben zu den IP-Adressen korrekt sind), was er natürlich nicht darf! Er darf nur seine eigene Adresse anfordern!

Du kannst die Adreßprüfung zwar unter Firewall/QoS -> Applikationen -> Applikation - FTP -> Stations-IP-Adresse prüfen abschalten, ich würde dir davon aus Sicherheitsgründen aber dingendst abraten...

BTW: daß FTPS/FTPES funktioniert ist klar - das ist schließlich verschlüsselt, weshalb die Firewall da nicht reinschauen kann....

Gruß
Backslash

JanItor · Beitrag von **JanItor** » 27 Mär 2012, 14:10

Hallo backslash,

es lag tatsächlich an des PASV Einstellungen im Filezilla. Hatte hier eine Abfrage bezüglich der dyn. IP eingebaut. Hab es jetzt auf default zurück gestellt.

Danke.