(0) exportieren Drucken
Alle erweitern
7 von 19 fanden dies hilfreich - Dieses Thema bewerten.

Konfigurieren der Windows-Firewall für einen FTP-Server im passiven Modus

Letzte Aktualisierung: Januar 2009

Betrifft: Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Die Verwendung des FTP-Diensts (File Transfer Protocol) auf einem Server hinter einer Firewall ist aufgrund der Funktionsweise von FTP nicht einfach. Ein FTP-Client im Standardmodus initiiert eine Sitzung mit einem Server, indem eine Verbindung für einen "Befehlskanal" über die TCP-Portnummer 21 herstellt. Die Dateiübertragung fordert der Client durch Senden eines PORT-Befehls an den Server an. Der Server versucht daraufhin, eine Verbindung für einen "Datenkanal" zum Client an der TCP-Portnummer 20 zu initiieren. Eine auf herkömmliche Weise konfigurierte Firewall auf dem Client identifiziert die Verbindungsanforderung für den Datenkanal als nicht angefordert und verwirft die Pakete, sodass die Dateiübertragung fehlschlägt. Die Windows-Firewall mit erweiterten Sicherheitseinstellungen unter Windows Vista und Windows Server 2008 unterstützt statusbehaftetes FTP, das eingehende Verbindungsanforderungen an Port 20 zulässt, wenn zuvor ein ausgehender PORT-Befehl vom Client gesendet wurde. Wenn Sie jedoch FTP über SSL verwenden, um den FTP-Datenverkehr zu verschlüsseln und zu schützen, kann die Firewall die eingehenden Verbindungsanforderungen vom Server nicht mehr überprüfen und blockiert sie daher.

Zur Vermeidung dieses Problems unterstützt FTP auch einen "passiven" Betriebsmodus, bei dem der Client die Datenkanalverbindung initiiert. Anstelle eines PORT-Befehls sendet der Client einen PASV-Befehl über den Befehlskanal. Der Server antwortet mit einer TCP-Portnummer, mit der der Client eine Verbindung herstellen soll, um den Datenkanal einzurichten. Der Server verwendet standardmäßig einen verfügbaren Port im kurzlebigen Bereich (1025 bis 5000). Für einen besseren Schutz des Servers können Sie den vom FTP-Dienst verwendeten Portbereich einschränken und dann eine Firewallregel erstellen, die FTP-Datenverkehr nur an den zugelassenen Portnummern erlaubt.

In diesem Thema werden folgende Verfahren beschrieben:

  1. Konfigurieren des FTP-Dienst für die Verwendung eines begrenzten Portnummernbereichs für den passiven FTP-Modus

  2. Konfigurieren einer eingehenden Firewallregel für das Zulassen eingehender FTP-Verbindungen an den zugelassenen Ports

Im folgenden Verfahren werden die Schritte für das Konfigurieren des FTP-Diensts in IIS 7.0 (Internet Information Services, Internetinformationsdienste) beschrieben. Wenn Sie einen anderen FTP-Dienst verwenden, finden Sie die entsprechenden Schritte in der Dokumentation des Herstellers. Das Konfigurieren der SSL-Unterstützung ist nicht Inhalt dieses Themas. Weitere Informationen finden Sie in der IIS-Dokumentation.

Konfigurieren des FTP-Dienst für die Verwendung eines begrenzten Portnummernbereichs für den passiven FTP-Modus

  1. Klicken Sie im IIS 7.0-Manager im Bereich Verbindungen auf den obersten Konten für Ihren Server.

  2. Doppelklicken Sie im Detailbereich auf FTP-Firewallunterstützung.

  3. Geben Sie den Portnummernbereich ein, den Sie für den FTP-Dienst verwenden möchten. Mit 41000-41099 erlauben Sie auf dem Server z. B. 100 Datenverbindungen im passiven Modus gleichzeitig.

  4. Geben Sie die externe IPv4-Adresse der Firewall an, über die Datenverbindungen eintreffen.

  5. Klicken Sie im Bereich Aktionen auf Übernehmen, um die Einstellungen zu speichern.

Sie müssen auch eine Firewallregel auf dem FTP-Server erstellen, um eingehende Verbindungen an den im vorangegangenen Verfahren konfigurierten Ports zuzulassen. Sie können dafür zwar eine Regel erstellen, in der alle Ports anhand ihrer Nummer angegeben werden, es ist jedoch einfacher, eine Regel zu erstellen, die einen beliebigen Port öffnet, der vom FTP-Dienst überwacht wird. Führen Sie zum Begrenzen der vom FTP-Dienst überwachten Ports die Schritte im folgenden Verfahren aus.

Konfigurieren einer eingehenden Firewallregel für das Zulassen eingehender FTP-Verbindungen an den Ports, die vom FTP-Dienst überwacht werden

  1. Öffnen Sie eine Eingabeaufforderung mit Administratorrechten. Klicken Sie auf Start, auf Alle Programme und auf Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie anschließend auf Als Administrator ausführen.

  2. Führen Sie den folgenden Befehl aus:

    netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in
    
  3. Deaktivieren Sie zum Abschluss die statusbehaftete FTP-Filterung, damit die Firewall nicht den gesamten FTP-Datenverkehr blockiert.

    netsh advfirewall set global StatefulFTP disable
    
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.