#MNF2V1: Zugriff von FTP Client auf WAN und FTP Server auf LAN (passiver FTP Modus)

Applikationsbeispiel: #MNF2V1: Zugriff von FTP Client auf WAN und FTP Server auf LAN (passiver FTP Modus)

benötigte Dokumente:

  • Handbuch für mbNET/mbNET.mini

verwendete Software und Hardware:

  • mbNET HW1 ab Firmwareversion 5.1.6
  • mbNET ab HW2 ab Firmwareversion 6.0.6
  • mbNET.mini ab Firmwareversion 2.0.0
  • my/mbCONNECT24 ab Version 2.4.1

Dieses Applikationsbeispiel beschreibt die Firewalleinstellungen von mbNET/mbNET.mini wenn auf der LAN-Seite ein FTP-Server betrieben wird, welcher von der WAN-Seite via FTP-Clients erreichbar sein soll. In dem Beispiel sollen zwei FTP-Clients auf den FTP-Server Zugriff haben.

Diese Beispiel unterscheidet sich zum #MNF1V1 dadurch, dass Sie hier vollkommen mit SNAT arbeiten können (also der FTP-Server auf der LAN Seite KEIN Gateway benötigt) und dadurch aber mit SimpleNAT arbeiten. Das hat zur Folge, dass für die mbNET/mbNET.mini WAN Seite zwingend die IP-Adresse statisch eingestellt sein muß.

Abbildung 1 – Netzwerkdarstellung der verwendeten Komponenten

Der Lösungsansatz hier, ist zum einen von WAN nach LAN mit SimpleNAT zu arbeiten und die Freigaben von WAN>LAN vom FTP-Client zum FTP-Server über WAN>LAN Regeln festzulegen.

Folgende Voraussetzungen:

  • die FTP Verbindung wird nur für den "passive Mode" bei FTP unterstützt. Das wird durch die Einstellung des FTP-Clients bestimmt!
  • der FTP Server muß die Einstellungsmöglichkeit haben, im Passive Mode die IP-Adresse vorzugeben. Z.B. bei FileZilla.
  • SNAT (LAN) in der Firewalleinstellung des mbNET/mbNET.mini kann hier benutzt werden. Wenn SNAT nicht benutzt wird, muß das mbNET/mbNET.mini als Gateway im FTP-Server eingetragen sein.

Wissenswertes zu FTP:

Die FTP Verbindung wird in der Regel über das Protokoll TCP und Port 21 übertragen. Bei FTP gibt es einen sogenannten "Command" Kanal und einen "Data" Kanal. Der "Command" Kanal wird wie gesagt über TCP-Port 21 hergestellt und dient dem Austausch von Kommandos von Client und Server. Über den "Data" Kanal werden dann später die eigentlichen Daten (z.B. Dateien) übertragen. Der "Data" Kanal wird aber erst nach der "Commando"Verbindung ausgehandelt. Das erschwert die feste Regelung in der Firewall, da somit der Port für den "Data" Kanal nicht von vorneherein festgelegt ist.

  • Im "Aktive Mode" gibt der der FTP-Client dem FTP-Server vor, wo der FTP-Server sich für den "Data" Kanal hin-verbinden soll. D.h. der FTP-Client übermittelt dem FTP-Server seine IP-Adresse und den TCP-Port über den er über den "Data" Kanal erreichbar ist.
  • Im "Passive Mode" hingegen, übermittelt der FTP-Server dem FTP-Client seine IP-Adresse und den TCP-Port über den der "Data" Kanal erreichbar ist.

Problemstellung bei "Passive Mode":

Wenn der FTP-Server hinter einem NAT-Netzwerk sitzt (also so auch wie in unserem Beispiel, bzw. immer dann wenn es IP-Netzwerk-Übergänge gibt von einem IP-Adressbereich auf einen Anderen), geht der FTP-Server davon aus, dass seine lokale IP-Adresse durchaus mit jedem Port vom FTP-Server erreichbar ist. Das würde bedeuten unser FTP-Client müsste wissen, wo er die lokale IP-Adresse des FTP-Server erreichen kann. Da wir hier aber mit einem NAT Netzwerk arbeiten, ist die lokale IP-Adresse aus dem mbNET LAN-Netzwerk dem FTP-Client auf der WAN Seite nicht bekannt und auch direkt nicht erreichbar.

In unserem Fall hier, nutzen wir die Möglichkeit von FileZilla die IP-Adresse welche dem FTP-Client übergeben wird, mittels einer Einstellung vorzugeben. Wir nutzen hier die SimpleNAT WAN-IP-Adresse, da diese direkt auf den FTP-Server geleitet wird.


Einstellung am FTP-Server (in unserem Beispiel FileZilla):

Durch die Verwendung des passive Modes muß am Server die IP-Adresse vorgegeben werden, welche dem FTP-Client im passive Mode übermittelt wird. In unserem Fall geben wir die SimpleNAT Adresse 172.25.15.221 an:

Abbildung 2 – Einstellung FileZilla Server


Einstellung am FTP-Client (in unserem Beispiel FileZilla):

Hier muß der "Passiv" Transfermodus gewählt werden. Ansonsten sehen Sie hier die Einstellung speziell für unser Beispiel (Achtung: die IP-Adresse bitte entsprechend Ihrer Applikation anpassen)

Abbildung 3 – Einstellung Transfermodus am FTP-Client

Hinweis: Hier wird als Server-IP die SimpleNAT IP-Adresse benutzt!

Abbildung 4 – Einstellung FTP-Client


Einstellung am mbNET/mbNET.mini:

Der Ansatz hier, ist zum einen die Erreichbarkeit des FTP-Servers im LAN-Netzwerk mittels SimpleNAT zu erreichen und zum Anderen mittels WAN>LAN Regel den Zugriff vom FTP-Client zum FTP-Server zu regeln. Im ersten Schritt geben wir somit dem FTP-Server eine SimpleNAT Adresse im WAN:

Abbildung 5 – Einstellung SimpleNATmbNET/mbNET.mini in mbCONNECT24

D.h. jeder Datenverkehr an die WAN-IP-Adresse 172.25.15.221 des mbNET/mbNET.mini wird automatisch an die lokale IP-Adresse 192.168.0.140 (unser FTP-Server) weitergeleitet.

Mit dieser Einstellung alleine würde nun die Kommunikation über FTP schon funktionieren. Der FTP-Server wäre über die 172.25.15.221 komplett im WAN erreichbar und da wir unseren FTP-Server so eingestellt haben, dass er im passive Mode auch diese IP-Adresse vergibt, kann somit auch der "Data" Kanal aufgebaut werden.

Um jetzt aber noch den Zugriff auf diese WAN-IP-Adresse ausschliesslich den FTP-Clients zu ermöglichen, erstellen wir zuerst eine globale WAN>LAN Regel, in der alle Anfragen vom WAN an die lokale IP 192.168.0.140 geblockt werden:

Abbildung 6 – Einstellung WAN>LAN Regel alles für 192.168.0.140 blockieren in mbCONNECT24

Als nächstes erstellen wir die Freigaberegeln für die FTP-Clients:

Abbildung 7 – Einstellung WAN>LAN Regel Freigabe für 172.25.202.144 für 192.168.0.140 in mbCONNECT24

Abbildung 8 – Einstellung WAN>LAN Regel Freigabe für 172.25.201.79 für 192.168.0.140 in mbCONNECT24

Das sollte dann so in der richtigen Reihenfolge aussehen:

Abbildung 9 – Einstellung WAN>LAN Regeln für 192.168.0.140 in mbCONNECT24

Damit haben wir nun erreicht, dass die FTP-Client durchgelassen werden, aber alles andere auf 192.168.0.140 wird geblockt.

Die Angaben der Source-IP und Destination-IP sind gemäß Ihrer Applikation dann natürlich anzupassen. Wichtig ist, dass die richtigen LAN und WAN Interfaces ausgewählt werden.

In unserem Beispiel würde die Firewalleinstellung dann Gesamt so aussehen:

Abbildung 10 – Einstellung der Firewall für diese Applikation