Filezilla Server, Probleme mit Clients hinter Firewall

Hallo,

ich betreibe einen Windows 2003 Server bei 1und1 (hängt also direkt am Internet). Der FTP Server des IIS lauscht auf Port 21 und funktioniert einwandfrei.
Da wir noch weitere Benutzer benötigen, die unterschiedliche Wurzelverzeichnisse bekommen sollen, habe ich FileZilla installiert, der FTP über Port 215 anbietet.
Die Clients befinden sich alle hinter einer Firewall oder einem Router, daher bietet sich nur passives FTP an. Eine Verbindung über Port 215 funktioniert ohne Probleme (über Commandozeilen FTP). Möchte ich dann ein ls ausführen (also den Datenkanal öffnen) bekomme ich keine Antwort.

Da die Verbindung mit einem Client, der dirket am Internet hängt funktioniert, gehe ich davon aus, dass die Pakete an der Firewall vor den Clients beblockt werden. Nur warum funktioniert das Ganze dann mit normalem FTP über Port 20/21 ?
Eine Filterregel, die sämtlichen eingehenden Verkehr über Port 215 erlaubt habe ich bereits erstellt aber da passives FTP beliebige High-Ports für die Verbindung des Datenkanals verwendet weiß ich nicht ob das ausreicht.....


Im Moment bin ich leider ziemlich ratlos :-(

Gruß Jens

Wie du schon bemerkt hast, benötigt FTP immer _zwei_ Ports - du musst also herausfinden, welchen weiteren Port deine FTP-Serversoftware noch benötigt (ich würd in diesem Fall mal auf 216 tippen ?!?) und diesen dann entsprechend freigeben.

Cheers,
Joshua

Hi Joshua,

der Datenkanal ist immer um 1 kleiner als der Steuerkanal, aber nur bei aktivem FTP. Da ich hinter der Firewall passives FTP verwende, benutzt der Client einen beliebigen HighPort (>1024) und schickt eine Anfrage auf einen beliebigen Port auf dem Server. Daher weiß ich nicht welchen Port ich öffnen muss......Den Port 214 habe ich aber trotzdem für eingehende Verbindungen erlaubt, leider ohne Erfolg !

Gruß Jens

Naja, auch beim passiven FTP werden standardmässig die Ports 20/21 benutzt, der Unterschied:
Beim aktiven FTP öffnet der Client eine Verbindung von einem beliebigen Quellport auf den Zielport 21 des FTP-Servers, dieser verbindet dann Port 20 zurück zum Client.
Beim passiven FTP öffnet der Client eben beide Verbindungen selbst.

Evtl. steckst du mal die Nase in die Doku/Hilfe zu Filezilla ?!?
Ich verwende btw die FTP-Engine des IIS überhaupt nicht mehr, da sie mir einfach zu schlecht implementiert ist. Stattdessen läuft eben eine andere FTP-Serversoftware mit den Standardports und das sehr zuverlässig.

Cheers,
Joshua

> auch beim passiven FTP werden standardmässig die Ports 20/21 benutzt
das ist klar, aber da nicht beide Server auf Port 21 lauschen können, muss ich für FileZilla zwangsläufig einen anderen Port verwenden

>Evtl. steckst du mal die Nase in die Doku/Hilfe zu Filezilla ?!?
ich bin gerade dabei....ich kann dem Server angeben, welche Portrange für den passiven Modus benutzen soll. Diese habe ich dann explizit im Paketfilter vom Server als erlaubten ausgehenden Traffic deklariert und zusätzlich an meiner Firewall auf meinen Rechner weitergeleitet. Scheint aber nicht verändert zu haben.


> ich verwende btw die FTP-Engine des IIS überhaupt nicht mehr, da sie mir einfach zu schlecht implementiert ist.

das war auch der Grund auf FileZialla zu wechseln, denn wenn der FTP Server von Microsoft verschiedene Wurzelverzeichnisse für unterschiedliche Benutzer unterstützen würde, hätte ich mir den Aufwand sparen können.

Hallo,

mein Problem hat sich gerade von selbst gelöst. Die Paketfilterregeln von Wk2+3 scheinen nicht sofort zu greifen, wenn man diese ändert. Die Option heißt: auf neue Richtlinien alle 180min prüfen.
Das hat Windows auch brav getan und meine Änderungen erst nach 3h angenommen. Jetzt funktionierts auch mit dem FTP !


Trotzdem danke für die prompten Antworten Joshua !

Gruß Jens