Portweiterleitung für meinen FTP-Server nicht möglich

Question

Vielen Dank, dass Sie den Artikel gelesen haben, auf den Attie hingewiesen hat. Es klingt, als bräuchten Sie nur ein bisschen mehr Erklärung. Ich habe festgestelltOpenBSDs Firewall-Handbuch, Abschnitt „Probleme mit FTP“informativ zu sein. Ich werde jedoch versuchen, das Problem hier zusammenzufassen.

Wenn Software über Internetprotokolle (IPv4 oder IPv6) kommuniziert, enthält das „IP-Protokoll“ (das ich als allgemeinen Begriff verwende, der gleichermaßen für IPv6 und IPv4 gilt) eine Ziel-IP-Adresse. Wenn Sie einige Protokolle wie TCP (was FTP tut), UDP (was DNS tut) oder SCTP verwenden, haben Sie auch eine „Portnummer“, was einer der Gründe ist, warum wir den Begriff „Portweiterleitung“ verwenden. (Einige Protokolle verwenden keine „Portnummer“. Beispielsweise verwendet ICMP IP und hat „Nachrichtentypen“, aber keine „Portnummern“.)

Die meisten Programme stellen den TCP/IP-Netzwerkkomponenten des lokalen Computers IP-Adressinformationen zur Verfügung und liefern dem Remotecomputer nur die „Nutzlast“ (also alle anderen Informationen, die der Remotecomputer empfangen muss). Bei HTTP beispielsweise weist Ihr Webbrowser Ihren lokalen TCP/IP-Netzwerkstapel an, eine Verbindung zu einer IP-Adresse zu öffnen, und Ihr Webbrowser teilt dem Remotesystem mit, welche Datei es empfangen möchte. Ihr Webbrowser gibt Ihre IP-Adresse nicht bekannt. Dieses Detail wird von den TCP/IP-Netzwerkkomponenten verarbeitet.

FTP unterscheidet sich von den meisten Softwareprogrammen.

FTP schließt die IP-Adresse tatsächlich in seine Nutzlast ein. Zusätzlich zur Bereitstellung der IP-Adresse als Teil des Standard-IP-Pakets wird in der FTP-Konversation also auch erwähnt, welche IP-Adresse verwendet werden soll. Die standardmäßige „Portweiterleitung“ ändert lediglich den Standardspeicherort für eine IP-Adresse und ändert die FTP-Konversation nicht.

FTP ist ein sehr altes Protokoll, das in der Zeit geschrieben wurde, als Universitäten und Großunternehmen das Netzwerk als Forschungsprojekt entwickelten. Internet-Abwehrmechanismen wie Firewalls gab es damals noch nicht und waren auch nicht nötig. Das Problem, das FTP mit sich bringt, war also nicht auf schlechte Autorenschaft zurückzuführen. Das Problem ist lediglich, dass FTP für einen anderen Netzwerktyp entwickelt wurde.

Dieses Problem kann auf drei verschiedene Arten umgangen werden:

Sie könnten versuchen, „passives“ FTP zu verwenden. Dies kann mit einem FTP-Server funktionieren, der sich hinter einer Firewall befindet (aber die Last wird verschoben: Der FTP-Client darf sich nicht hinter einer Firewall befinden … daher funktioniert dieses Szenario oft auch nicht gut). Wenn diese Lösung möglich ist (was erfordert, dass die FTP-Client-Software diese Funktion unterstützt), kann dies die schnellste Lösung sein (Ändern einer Einstellung in der FTP-Client-Software), kann aber je nach verwendeter FTP-Client-Software einfach oder schwierig sein.
Viele Router unterstützen eine Option namens „FTP-Proxy“, die die FTP-Konversation ändert und dieses Problem effektiv für Sie behebt. Suchen und aktivieren Sie eine solche Option (falls vorhanden).
Verwenden Sie ein anderes Protokoll, bei dem das gleiche Problem nicht auftritt

FTP ist in gewisser Weise einzigartig. Die meisten heute gängigen Protokolle haben dieses Problem nicht und werden es auch nicht haben, da es inzwischen Firewalls gibt und die Leute sich des Problems bewusst sind. (Wenn jemand ein neues Protokoll schreiben würde und diese Person das Problem nicht kennt, würde sie wahrscheinlich darauf aufmerksam gemacht werden, bevor das Protokoll sehr populär wird.) Allerdings war FTP zu einem bestimmten Zeitpunkt die beste Lösung und die Leute zögerten, andere Lösungen zu verwenden. Ein Hauptgrund dafür könnte sein, dass viele Leute FTP-Software hatten, darunter auch gängige Webbrowser, die FTP unterstützten.

Heutzutage gibt es bessere Lösungen als FTP. Verwenden Sie das „SSH File Transfer Protocol“ (eines der Protokolle namens „SFTP“), SCP oder HTTPS. Für diese Protokolle sind keine speziellen Proxys erforderlich, um auf den Firewalls ausgeführt zu werden. Für Lösungen, die für mehrere Kunden leicht verfügbar sein müssen, kann HTTPS die Lösung sein. (Es gibt möglicherweise sogar andere Optionen wie FTPS, aber ich empfehle die zuvor genannten Protokolle.)

Daher wird der letzte Aufzählungspunkt empfohlen. Wenn Sie das Gefühl haben, dass Sie das aus irgendeinem Grund nicht tun können, können Sie es mit dem ersten oder zweiten Aufzählungspunkt versuchen (jeder dieser Punkte könnte eine schnellere, wenn auch schlechtere Lösung für Ihr Problem sein).

Answer 1

Vielen Dank, dass Sie den Artikel gelesen haben, auf den Attie hingewiesen hat. Es klingt, als bräuchten Sie nur ein bisschen mehr Erklärung. Ich habe festgestelltOpenBSDs Firewall-Handbuch, Abschnitt „Probleme mit FTP“informativ zu sein. Ich werde jedoch versuchen, das Problem hier zusammenzufassen.

Wenn Software über Internetprotokolle (IPv4 oder IPv6) kommuniziert, enthält das „IP-Protokoll“ (das ich als allgemeinen Begriff verwende, der gleichermaßen für IPv6 und IPv4 gilt) eine Ziel-IP-Adresse. Wenn Sie einige Protokolle wie TCP (was FTP tut), UDP (was DNS tut) oder SCTP verwenden, haben Sie auch eine „Portnummer“, was einer der Gründe ist, warum wir den Begriff „Portweiterleitung“ verwenden. (Einige Protokolle verwenden keine „Portnummer“. Beispielsweise verwendet ICMP IP und hat „Nachrichtentypen“, aber keine „Portnummern“.)

Die meisten Programme stellen den TCP/IP-Netzwerkkomponenten des lokalen Computers IP-Adressinformationen zur Verfügung und liefern dem Remotecomputer nur die „Nutzlast“ (also alle anderen Informationen, die der Remotecomputer empfangen muss). Bei HTTP beispielsweise weist Ihr Webbrowser Ihren lokalen TCP/IP-Netzwerkstapel an, eine Verbindung zu einer IP-Adresse zu öffnen, und Ihr Webbrowser teilt dem Remotesystem mit, welche Datei es empfangen möchte. Ihr Webbrowser gibt Ihre IP-Adresse nicht bekannt. Dieses Detail wird von den TCP/IP-Netzwerkkomponenten verarbeitet.

FTP unterscheidet sich von den meisten Softwareprogrammen.

FTP schließt die IP-Adresse tatsächlich in seine Nutzlast ein. Zusätzlich zur Bereitstellung der IP-Adresse als Teil des Standard-IP-Pakets wird in der FTP-Konversation also auch erwähnt, welche IP-Adresse verwendet werden soll. Die standardmäßige „Portweiterleitung“ ändert lediglich den Standardspeicherort für eine IP-Adresse und ändert die FTP-Konversation nicht.

FTP ist ein sehr altes Protokoll, das in der Zeit geschrieben wurde, als Universitäten und Großunternehmen das Netzwerk als Forschungsprojekt entwickelten. Internet-Abwehrmechanismen wie Firewalls gab es damals noch nicht und waren auch nicht nötig. Das Problem, das FTP mit sich bringt, war also nicht auf schlechte Autorenschaft zurückzuführen. Das Problem ist lediglich, dass FTP für einen anderen Netzwerktyp entwickelt wurde.

Dieses Problem kann auf drei verschiedene Arten umgangen werden:

Sie könnten versuchen, „passives“ FTP zu verwenden. Dies kann mit einem FTP-Server funktionieren, der sich hinter einer Firewall befindet (aber die Last wird verschoben: Der FTP-Client darf sich nicht hinter einer Firewall befinden … daher funktioniert dieses Szenario oft auch nicht gut). Wenn diese Lösung möglich ist (was erfordert, dass die FTP-Client-Software diese Funktion unterstützt), kann dies die schnellste Lösung sein (Ändern einer Einstellung in der FTP-Client-Software), kann aber je nach verwendeter FTP-Client-Software einfach oder schwierig sein.
Viele Router unterstützen eine Option namens „FTP-Proxy“, die die FTP-Konversation ändert und dieses Problem effektiv für Sie behebt. Suchen und aktivieren Sie eine solche Option (falls vorhanden).
Verwenden Sie ein anderes Protokoll, bei dem das gleiche Problem nicht auftritt

FTP ist in gewisser Weise einzigartig. Die meisten heute gängigen Protokolle haben dieses Problem nicht und werden es auch nicht haben, da es inzwischen Firewalls gibt und die Leute sich des Problems bewusst sind. (Wenn jemand ein neues Protokoll schreiben würde und diese Person das Problem nicht kennt, würde sie wahrscheinlich darauf aufmerksam gemacht werden, bevor das Protokoll sehr populär wird.) Allerdings war FTP zu einem bestimmten Zeitpunkt die beste Lösung und die Leute zögerten, andere Lösungen zu verwenden. Ein Hauptgrund dafür könnte sein, dass viele Leute FTP-Software hatten, darunter auch gängige Webbrowser, die FTP unterstützten.

Heutzutage gibt es bessere Lösungen als FTP. Verwenden Sie das „SSH File Transfer Protocol“ (eines der Protokolle namens „SFTP“), SCP oder HTTPS. Für diese Protokolle sind keine speziellen Proxys erforderlich, um auf den Firewalls ausgeführt zu werden. Für Lösungen, die für mehrere Kunden leicht verfügbar sein müssen, kann HTTPS die Lösung sein. (Es gibt möglicherweise sogar andere Optionen wie FTPS, aber ich empfehle die zuvor genannten Protokolle.)

Daher wird der letzte Aufzählungspunkt empfohlen. Wenn Sie das Gefühl haben, dass Sie das aus irgendeinem Grund nicht tun können, können Sie es mit dem ersten oder zweiten Aufzählungspunkt versuchen (jeder dieser Punkte könnte eine schnellere, wenn auch schlechtere Lösung für Ihr Problem sein).

Portweiterleitung für meinen FTP-Server nicht möglich

Antwort1

verwandte Informationen