FTPES und Proftpd – NAT

In dieser Kurzanleitung beschreibe ich die notwendigen Schritte um einen FTP Server hinter eine Firewall anzusprechen. Bei FTPES handelt es sich um eine verschlüsselte FTP Verbindung. Befindet sich der FTP Server hinter einer Firewall so reicht es im Falle von FTPES nicht den standard FTP Port 21 zu „forwarden“, es müssen zusätzlich noch weitere Ports vom Router zum Server weitergeleitet werden. Da Proftpd und auch andere FTP Server dem Client normalerweise zufällig gewählte Ports übermitteln, kann es zu weiteren Problemen kommen. Vor allem dann, wenn sich auch der Client hinter einer Firewall befindet und eine Verbindung nur via passive Mode möglich ist. Abhilfe schaffen nun folgende Konfigurationsparameter in proftpd.conf:

PassivePorts 60000 65535

Dadurch wird proftpd veranlasst dem Client lediglich die als ungefährlich(da in der Regel keine Dienste unter diesen Ports lauschen) geltenden Ports 60000-65535 zu übermitteln. Es reicht nun diesen Portbereich im Router an den entsprechenden TP Server weiterzuleiten.

Es empfiehlt sich darüberhinaus den folgenden Parameter in proftpd.conf zu setzen:

MasqueradeAddress hostname.domainname

bei hostname.domainname kann es sich beispielsweise um eine DynDns Adresse handeln über der der Router erreicht werden kann. Dies ist notwendig, da in der Regel der Server hinter dem Router eine nicht öffentliche Adresse besitzt. Damit proftpd nur verschlüsselte Verbindungen (TLSRequired) erlaubt, werden folgende Optionen eingetragen:

TLSEngine on
TLSRequired on
TLSRSACertificateFile /etc/pki/tls/certs/certfile
TLSRSACertificateKeyFile /etc/pki/tls/certs/certkeyfile
TLSCipherSuite ALL:!ADH:!DES
TLSOptions NoCertRequest
TLSVerifyClient off
TLSRenegotiate ctrl 3600 data 512000 required off timeout 300

Ist der Rest der proftpd Konfiguration den eigenen Bedürfnissen angepasst kann nun ein FTP Client benutzt werden um via FTPES auf den FTP Server zuzugreifen. Beispielsweise kann dies mit FileZilla geschehen. Neben den benötigten Verbindungsdaten ist hier unter Servertyp FTPES – FTP durch explizites TLS/SSL einzustelen.

Schreibe einen Kommentar

Post Navigation