problema com FTP passivo por trás do firewall do cisco asa

Navegue suas respostas
4

Eu tenho problemas para me conectar a um servidor FTP por trás de um firewall Cisco usando o modo passivo. O ftp funciona usando o modo ativo e "passivo estendido", no entanto: quando desativo o "passivo estendido" (aplicativo cliente do console epsv em ftp), ele não funciona mais - todos os comandos resultam em um tempo limite. no entanto, precisamos de um modo não "passivo estendido" para alguns aplicativos que usamos.

alguma ideia?

obrigado harald

UPDATE / SOLUTION

como se vê, não foi exatamente culpa da ASA, ou foi? Eu tive que virar de masquerading em configuração proftpd. Eu tinha o endereço de mascaramento em proftpd-config definido para o endereço IP do domínio ftp-servidor e que resultou em coisas inesperadas ao passar o tráfego através da asa. agora - sem endereço disfarçado - tudo funciona muito bem.

    
por harald 29.06.2009 / 15:28

7 respostas

2

Tópico antigo, mas me deparei com problemas semelhantes recentemente e imaginei que meu $ .02 poderia ajudar alguém.

No meu caso, estamos executando o IIS 7.5 por trás de uma versão um pouco mais antiga do ASA, que estamos substituindo. Temos um site de FTP existente e meu plano era simplesmente adicionar suporte a FTPS com o certificado & talvez fazer com que nossos administradores de rede abram algumas portas. O IIS tem uma configuração de mascaramento semelhante para cada site FTP chamado "Endereço IP externo do firewall", que é, ele próprio, enganoso.

a versão TL / DR : Se o seu servidor FTP permitir que você especifique um IP & um intervalo de portas usadas para conexões PASV, você DEVE consertar isso abrindo essas portas & desabilitando a inspeção do ftp.

Devido a algumas outras restrições, não consegui desativar a inspeção no nosso ASA, por isso tive de fazer alguns compromissos. Aqui está o que eu observei / aprendi:

  • O ASA só pode inspecionar o tráfego não criptografado. duh?
  • O comportamento padrão do ASA é inspecionar vários protocolos, incluindo o FTP.
  • o cliente autentica na porta do servidor 21 e determina o conjunto de recursos suportado pelo servidor.
  • O cliente, se configurado, enviará uma solicitação PASV ao servidor
  • O servidor responderá com "227 entrando no modo passivo (a, b, c, d, e, f)" onde a.b.c.d é o endereço do servidor e e * 256 + f = número da porta
  • O endereço a.b.c.d será o IP interno, a menos que o endereço de mascaramento esteja configurado
  • a inspeção de FTP reconfigurará o endereço a.b.c.d para o IP externo e abrirá a porta especificada para esse cliente.
  • Se o endereço a.b.c.d for o endereço externo, o pacote de resposta será descartado. * Isso pode ser devido à opção estrita, que eu não pude verificar.
  • O CuteFTP reconhecerá um IP não roteável na resposta PASV e tentará usar o endereço externo do servidor.
  • o ASA não pode ler o tráfego FTPS criptografado por SSL, portanto ignora a inspeção e funciona.

Então, no nosso caso, quando eu defini o IP do mascarado, consegui me conectar muito bem via FTPS, mas o FTP regular falhava. Quando removi o IP do mascarado, ainda consegui me conectar ao FTP e ao FTPS usando CuteFTP, mas nosso cliente principal não pôde se conectar ao FTPS. (o sistema deles não era "inteligente" o suficiente para traduzir o IP não roteável ...)

Então, minha solução lame estava usando dois sites separados: um que usava um IP mascarado e exigia SSL, o outro site que não usava.

TMI, mas talvez ajude alguém a lidar com isso.

    
por 03.08.2016 / 23:18
1

Você precisa ativar a filtragem em nível de aplicativo para FTP usando o comando "fixup": 

# fixup protocol ftp 21

Existe este artigo no PIX que também se aplica ao ASA:

link

    
por 29.06.2009 / 15:43
1

Pode ser necessário criar uma regra para permitir as portas Pasv, não apenas a porta 21. Em seu programa de FTP, geralmente, elas têm uma configuração onde você pode especificar o intervalo de portas Pasv do cliente. Especifique um intervalo alto de portas que digam 45200 a 45500 ou algo parecido. Em seguida, no seu ASA permitir que essas portas para o IP do servidor FTP.

    
por 29.06.2009 / 17:02
0

Os ASAs não têm um comando de correção como o PIX fez.

Você está usando as inspeções padrão no tráfego FTP por meio de uma regra de política de serviço?

    
por 29.06.2009 / 16:17
0

Oi tente as seguintes coisas:

modo de FTP passivo

policy_map global_policy

classe inspection_default

inspecione o ftp

Eu não tenho certeza do que o primeiro comando faz, mas eu o vi em algumas configurações em execução. apenas experimente

mas tenho certeza que você precisa criar um mapa de políticas com uma inspeção de ftp. essa é a coisa que eles chamavam de protocolos de correção no pix antes. Ele permite que o asa abra uma sessão quando o oponente escolhe em qual porta ele quer falar.

    
por 29.06.2009 / 17:19
0

Você pode alternar para o uso de SFTP implícito e só precisa se preocupar com uma única porta para abrir.

    
por 07.11.2009 / 00:01
0

Acho que o comando "ftp mode passive" é para o asa (roteador em si) enviar ou receber configurações para si mesmo ou para si mesmo. Não para passar sessões. Apenas o que eu encontrei ....

    
por 23.11.2009 / 21:40

Tags

SMTP-AUTH necessário para domínios locais? Replicação de arquivos para filiais