Beschreibung:

Dieser Artikel beschreibt, wie der FTP-Proxy bzw. das Application-Management für das Protokoll FTP eingerichtet werden kann. 

Voraussetzungen:

  • LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.3
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox

Vorgehensweise

Bei LANCOM Unified Firewalls wird automatisch das ALG für das Protokoll FTP aktiviert (Conntrack Helper), wenn eine Firewall-Regel für den TCP-Port 21 erstellt wird

Das Protokoll FTP sollte nach Möglichkeit nur für ausgewählte Netzwerk-Teilnehmer erlaubt werden, die dieses benötigen.

LANCOM Systems empfiehlt bei Verwendung von FTP die zusätzliche Einrichtung des FTP-Proxy oder des "Application-Management" für das Protokoll FTP: 

1. Einrichtung des "Application Filter":

Bei einer Prüfung über das Application-Management muss ein separates Host- oder Netzwerk-Objekt erstellt werden, in dem nur das Protokoll FTP samt einem benutzerdefinierten Protokoll für FTP-Daten enthalten ist. Das Application-Management wird für FTP dann nur für dieses Objekt angewandt. 

1.1 Öffnen Sie die Konfiguration der Unified Firewall in einem Web-Browser, wechseln in das Menü Desktop → Dienste → Benutzerdef. Dienste und klicken auf das "Plus-Symbol", um einen neuen Dienst für die Übertragung der FTP-Daten anzulegen.

1.2 Vergeben Sie einen aussagekräftigen Namen und klicken auf das "Plus-Symbol", um die Ports und Protokolle anzulegen.

1.3 Tragen Sie die Ports 30000 bis 65535 ein und wählen das Protokoll TCP aus. Klicken Sie anschließend auf OK.

  • Die Verfügbarkeit der geöffneten Ports wird im weiteren Konfigurationsverlauf durch die Nutzung des Application Filters reglementiert (siehe Schritte 1.15ff).
  • Die hier hinterlegten Ports werden für den FTP-Datentransfer verwendet. Stellen Sie sicher, dass diese Ports (oder eine Teilmenge) auch in Ihrem FTP-Client hinterlegt sind.

1.4 Klicken Sie auf Erstellen, um den Dienst anzulegen.

1.5 Wechseln Sie in der Konfiguration der Unified Firewall in das Menü UTM → Application-Management → Einstellungen.

1.6 Aktivieren Sie das Application-Management über den Schiebe-Regler und klicken auf Speichern.

1.7 Wechseln Sie in das Menü UTM → Application-Management → Filter-Profile

1.8 Vergeben Sie einen aussagekräftigen Profilnamen, aktivieren das Protokoll FTP und klicken auf Erstellen.

Tragen Sie im Filter-Feld den Suchbegriff ftp ein, damit Sie das gewünschte Protokoll FTP schneller finden können.

1.9 Klicken Sie auf dem Desktop auf das Host- oder Netzwerk-Objekt, für welches die Kommunikation per FTP erlaubt ist, wählen das Verbindungswerkzeug aus und klicken auf das Internet-Objekt, um die Firewall-Regeln aufzurufen. 

1.10 Klicken Sie bei FTP auf das "Mülltonnen-Symbol", um das Protokoll aus dieser Regel zu entfernen. 

1.11 Klicken Sie anschließend auf Speichern.

1.12 Klicken Sie auf das Symbol zum Erstellen eines Hosts oder zum Erstellen eines Netzwerks, sofern FTP im ganzen Netzwerk erlaubt werden soll.

1.13 Passen Sie folgende Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen. Dieser darf nicht dem Namen des bereits bestehenden Objektes entsprechen.
  • Interface: Wählen Sie das Interface, an dem der Host bzw. das Netzwerk angeschlossen ist.
  • IP-Adresse: Tragen Sie die IP-Adresse des bereits bestehenden Hosts bzw. die Netzadresse des bereits bestehenden Netzwerks ein.

1.14 Klicken Sie auf das in Schritt 1.13 erstellte Host- oder Netzwerk-Objekt, wählen das Verbindungswerkzeug aus und klicken auf das Internet-Objekt, um die Firewall-Regeln aufzurufen.

1.15 Fügen Sie das Protokoll FTP sowie das in Schritt 1.1 - 1.4 erstellten Dienst für die FTP-Daten (in diesem Beispiel FTP-Data) hinzu.

Verwenden Sie das Filter-Feld, damit Sie die gewünschten Dienste schneller finden können.

 

1.16 Klicken Sie auf den Reiter Application Filter.

1.17 Wählen Sie die Option Whitelist aus und fügen das in Schritt 1.8 erstellte Filter-Profil hinzu. 

1.18 Klicken Sie auf Erstellen.

1.19 Klicken Sie auf Aktivieren, damit die vorgenommenen Einstellungen umgesetzt werden.


2. Einrichtung des FTP-Proxy: 

Die Verwendung des FTP-Proxy setzt einen aktiven und funktionierenden HTTP-Proxy voraus.

2.1 Klicken Sie auf dem Desktop auf das Host- oder Netzwerk-Objekt, für welches die Kommunikation per FTP erlaubt ist, wählen das Verbindungswerkzeug aus und klicken auf das Internet-Objekt, um die Firewall-Regeln aufzurufen. 

2.2 Klicken Sie bei FTP unter Optionen auf NAT, um die erweiterten Einstellungen aufzurufen.

2.3 Setzen Sie bei Proxy den Haken bei Proxy für diesen Dienst aktivieren und klicken anschließend auf OK

2.4 Klicken Sie auf Speichern, um die Änderung zu übernehmen.

2.5 Klicken Sie auf Aktivieren, damit die vorgenommenen Einstellungen umgesetzt werden.