Hi,

Also erstmal ein bischen Grundlegendes, zum besseren Verständniss !

Vielen Dank - langsam habe ich das Gefühl, mich wenigstens in den
Grundlagen halbwegs zurecht zu finden ...

:-) Hätte ich vieleicht besser als Frage formulieren sollen. Ich war mir nicht ganz sicher ob das so hundertpro stimmt.

Ist mir noch aufgefallen das ich falschherum gedacht habe. Der Client ist ja drin und der Server außerhalb.(da hab ich wohl gepennt)

Das ist einfach eine Einstellung der Firewall, die einen Haufen Ports kennt
und bei denen die üblichen Standard-Protokolle (HTTP, FTP, Telnet etc.) als
Hack-Versuche abwehrt.

Genau ! Jetzt verstehe ich das schon eher. Bei aktiv kommt ja die Verbindung von außen. Die Firewall hat aber über den gleichen Port gar keine Anforderung von innen bekommen.

Dazu muss die Firewall den ControlChannel(Port21) analysieren, um herauszufinden welcher Port freigegeben werden muss.

Das geht zwar, ist aber problematisch. Dazu müssen bei diversen Firewalls bestimmte Einstellungen vorgenommen werden. Hier kann ein Sicherheitsloch entstehen. Zusätzlich kann dabei die Performance der Wall tierisch in die Knie gehen.(Wegen Paketfilter,Protokollfilter etc.)

Würde eure Firewall alle Verbindungen außerhalb der für FTP zuläßigen ablehen, wäre das einfacher zu verstehen. Dann würde ich sagen ... es geht nur passiv oder nen FTP-Proxy muss her oder bla...

Mich wundert allerdings das teilweise Pakete von außen ohne Anforderung zu euch ins Netz kommen. Eigentlich soll doch genau das die Wall unterbinden.(grob ausgedrückt).

Ich gehe mal davon aus, daß die Firewall den ControlChannel doch analysiert, ansonsten sollte sie keine Verbindungen von außen ohne weiteres zulassen.

Nun gibt es da aber die Außnahme einiger bestimmter Ports, welche ein direktes Verbot haben auf Verbindungen dieser Art einzugehen.
(Das sollte allerdings aus der Wall config zu ersehen sein).

Selbst wenn das passiert sollte die Wall über einen Filter verfügen um Port-Forwarding zu betreiben. (Ich glaub so hieß das).

Dabei erkennt die Wall im ControlChannel das Port Kommando. Ist dieser Port für die Wall OK bleibt das Kommando wie es ist. Wenn nicht ändert die Wall den Port in einen neuen. Die Antwort des Servers kommt auf dem neuen Port und muss nun auf den alten Port für den Client umgeleitet werden.

Generell gibt es bei aktiv mode und Firewalls immer Probleme. Das ist unter anderem bei LINUX Firewalls nachzulesen.

Ich denke, da für gerade diese Thematik oft eine Mischung aus ProxyServern und Firwalls genutzt wird, wäre das vieleicht auch hier eine Lösung.  Ist aber genauso aufwendig wie alle Clients auf passiv umzustellen, außer ihr verfügt schon über einen Transparenten Proxy, der nur noch auf FTP konfiguriert werden muss. Wie gesagt, moderne Walls sollten das auch können.

Bei passiv mode kann ich mir vorstellen, das die Wall weniger Probleme hat eine Verbindung freizugeben, da der DataChannel vom Client aufgebaut wird und hierbei die Wall das als Anfrage aus dem internen Netz ansieht.

Hmmm soweit erstmal !

Das Thema ist auch für mich von Interesse. Hat mir geholfen einige Themen besser auszuleuchten.

Bis bald .. Grüße !
code2i