Irgendeine Idee, warum SFTP je nach Client-Rechner/Netzwerk unterschiedlich funktioniert

Irgendeine Idee, warum SFTP je nach Client-Rechner/Netzwerk unterschiedlich funktioniert

Ich befinde mich in einer merkwürdigen Situation.

Von Computer A aus kann ich mit PSFTP.EXE (Putty SFTP-Client) eine Verbindung zu einem Remote-SFTP-Server herstellen und mit dir und chdir herumstöbern. Wenn ich versuche,erhaltenodersetzenDateien erhalte ich einen Berechtigungsfehler.

Von Computer B aus kann ich mit PSFTP.EXE (dieselbe Version) mit den GLEICHEN Anmeldeinformationen eine Verbindung zum GLEICHEN Server herstellen und mit dir und chdir herumstöbern sowie Arbeit abrufen/ablegen.

Der einzige Unterschied besteht darin, dass sich Computer A hinter einer Firewall befindet, die ausgehenden Datenverkehr blockiert. Der Firewall-Administrator hat Port 22 für mich geöffnet. Zuvor konnte ich nicht einmal eine Verbindung herstellen.

Ich bin verwirrt, weil die Daten offensichtlich in beide Richtungen fließen (Verzeichnislisten geben Daten zurück). Und ich weiß, dass ich mich mit demselben Server verbinde (Dateien, die von Computer B abgelegt werden, werden in Verzeichnislisten von Computer A angezeigt).

Gibt es irgendetwas, das der Firewall-Administrator überprüfen kann, um ein solches Verhalten zuzulassen?
Verbindungen sind also erlaubt, dir&chdir sind erlaubt, aber Dateiübertragungen get/put werden verweigert? Tatsächlich werden alle Dateiänderungen verweigert (mv, ren, rm usw.)

Ich weiß, dass es sich nach einem Berechtigungsproblem auf dem Server anhört, aber wenn das der Fall wäre, würde ich erwarten, dass Computer B das gleiche Problem hat und dort absolut keine Probleme auftreten.

Bearbeitung #1

Here is Computer A's session details: (slightly changed to protect sensitive data)

psftp> open servername.com
Looking up host "servername.com"
Connecting to x.x.x.x port 22
**Server version: SSH-2.0-OpenSSH_4.6**
Using SSH protocol version 2
We claim version: SSH-2.0-PuTTY_Release_0.62
Doing Diffie-Hellman group exchange
Doing Diffie-Hellman key exchange with hash SHA-256
Host key fingerprint is:
ssh-rsa 1024 
Initialised AES-256 SDCTR client->server encryption
Initialised HMAC-SHA1 client->server MAC algorithm
Initialised AES-256 SDCTR server->client encryption
Initialised HMAC-SHA1 server->client MAC algorithm
login as: username
password:
Sent password
Access granted
Opened channel for session
Started a shell/command
Connected to servername.com
Remote working directory is /


Here is Computer B's session details: (slightly changed to protect sensitive data)

psftp> open servername.com
Looking up host "servername.com"
Connecting to x.x.x.x port 22
**Server version: SSH-2.0-0.0**
Using SSH protocol version 2
We claim version: SSH-2.0-PuTTY_Release_0.62
Doing Diffie-Hellman group exchange
Doing Diffie-Hellman key exchange with hash SHA-1
Host key fingerprint is:
ssh-dss 1024 ...
Initialised AES-256 CBC client->server encryption
Initialised HMAC-SHA1 client->server MAC algorithm
Initialised AES-256 CBC server->client encryption
Initialised HMAC-SHA1 server->client MAC algorithm
Pageant is running. Requesting keys.
Pageant has 0 SSH-2 keys
login as: username
password:
Sent password
Access granted
Opened channel for session
Started a shell/command
Connected to servername.com
Remote working directory is /

Antwort1

Die Firewall kann einzelne Downloads/Uploads mit SFTP nicht blockieren. Die Verbindung ist verschlüsselt. Die Firewall kann nicht sehen, was zwischen Client und Server vor sich geht, geschweige denn eingreifen. Die Firewall kann lediglich die gesamte Verbindung blockieren, nicht jedoch einzelne Vorgänge.

Der SFTP-Server kann jedoch Downloads/Uploads basierend auf der Client-IP-Adresse blockieren. Beispielsweise mod_sftpermöglicht ProFTPD dies (mitAllowRichtlinie).


Aus den Protokollen, die Sie bereitgestellt haben, geht hervor, dass Sie jedes Mal eine Verbindung zu einem anderen Server herstellen. Es kann sich zwar um denselben physischen Server handeln, aber es ist definitiv ein anderer SSH-Server. Selbst wenn Sie eine Verbindung zu derselben IP-Adresse und demselben Port herstellen, kann es sein, dass die Firewall Sie basierend auf Ihrer lokalen IP-Adresse zu einem anderen Port (natürlich sogar zu einer anderen IP-Adresse, aber Sie behaupten, dass dies nicht der Fall sei) umleitet.

verwandte Informationen