ComputerBase
Aktuelles

Projekt - DMZ - FTP Server

G

Gerber_

Lieutenant
Registriert
Juli 2012
Beiträge
543
Hallo Community,

ich möchte gerne privat / zuhause ein weiteres kleines Projekt angehen.
Bevor ich in Hardware usw investiere möchte ich gerne unklarheiten beseitigen und mit euch eine geeignete Lösung finden.

-------

Ich möchte in Zukunft eine DMZ mit einer PFsense Firewall aufbauen.
In dieser DMZ soll ein FTP Server laufen, damit ich bekannten Daten zur Verfügung stellen kann.


Nun sind einige Fragen aufgetreten, wo ihr mir sicher weiterhelfen könnt.

Netzwerkaufbau.png

In der Grafik habe ich grob mein Netzaufbau dagestellt.

Ich möchte die DMZ so einrichten: "WAN <---> "DMZ" // "LAN ---> DMZ" // "LAN ---> WAN".

Nun meine Fragen:

1.) Habt ihr Ideen, was ich verbesseren müsste ? Oder ist der Aufbau korrekt ??

2.) NAT muss ich vom Router zum FTP Server einrichten oder muss ich vom Router zur Pfsense Firewall und dort nochmals eine Weiterleitung zum FTP Server einrichten (dass ist mir noch nicht ganz klar, sry...).

3.) Hat das jemand schon konfiguriert und kann eventuell wertvolle Tipps oder mehr dazu erzählen ??

4.) Eventuell werde ich auch noch meine Pfsense Firewall als VPN Stelle einrichten ...


Danke im voraus.

Für Tipps immer dankbar...


Grüße Gerber
 
Grundsätzlich ist der Aufbau korrekt, du trennst mit der pfsense DMZ und LAN voneinander und richtest nicht einfach einen DMZ Host ein wie es manche Router bezeichnen.

Allerdings ist das doppelte NAT manchmal ein Problem. Wenn du das so umsetzen willst solltest du in der Fritzbox die PFSense als exposed Host eintragen damit alle Pakete an sie weitergereicht werden. In der PFSense konfigurierst du dann NAT für den FTP Server (Port 21 und die Passive Port Range weiterleiten).
Probleme kann es bei dieser Konfiguration gern mal mit dem Playstation Network oder der Xbox geben wenn der NAT Typ nicht richtig erkannt wird.
 
Warum machst du dir da so großen Aufwand? Stell dir einfach ein System hin, auf dem der FTP läuft und bau dir in die Fritzbox passende Portweiterleitungen ein... fertig.

Versteh mich nicht falsch, pfSense ist eine schöne Sache (läuft bei mir zuhause auch), aber in deinem Fall ist das eher overkill.
 
Du solltest es wie Masamune2 machen.

Deine Idee stimmt, aber Exposed Host zur Firewall und die das NAT übernehmen lassen.

Ich betreibe das ganze mit Sophos UTM und drei Netzen für ähnliche Dinge (Gameserver, TS, VPN) usw.
 
Wow, danke für die schnelle Antwort...

@ Masamune2 : Das mit dem Exposted Host ist eine gute Idee werde ich dann wohl so umsetzen müssen.

Das doppelte NAT muss ich leider einsetzen, da ich die Telefonanlage mit den Telefonen direkt an der Fritzbox verbinden muss.

Ich hoffe das funktioniert dann mit der PS4 weiterhin (offener Port) xD

@ KillerCow : In erster Linie geht es mir um die Sicherheit, die mit deiner Portweiterleitung nicht gegeben ist (keine getrennten Netzwerke).

Zusätzlich möchte ich gerne zuhause eine Firewall haben mit der ich auch andere spielereien testen kann und nicht immer nur in der Firma.
D.h. auch für meine eigene Weiterbildung, da man doch einiges mehr damit anstellen kann.

Deshalb keines weges Overkill :D

@T3mp3sT1187: Okay werde ich dann wohl so einrichten.



Wenn ich schon die Profis hier habe:

Gibt es eine Möglcihkeit z.B. einen FTP Download nur für eine bestimmte Zeit freizugeben ??


Danke nochmal an alle.

Grüße Gerber
 
Gibt es eine Möglcihkeit z.B. einen FTP Download nur für eine bestimmte Zeit freizugeben ??
Zum Vergrößern anklicken....
Welchen FTP Server auf welchem OS willst du denn einsetzen?

Grundsätzlich lässt sich sowas über einen Cronjob/Aufgabenplanung und einem Script das zu gegebener Zeit die Rechte verändert realisieren.
 
@ Masamune2:

Welcher FTP Server ich einsetze muss ich mir noch überlegen, ob ich Windows mit Filezilla benutzeoder ob ich für Testzwecke einfach einen Raspberry Pi mit FTP laufen lasse.

Was empfiehlst du ?


Eine Frage noch zum Thema NAT, rein für das Verständniss:

Wenn ich die Fritzbox nur als Modem benutzen würde, würde das mit dem doppelten NAT entfallen oder??
d.h. ich müsste dann nur NAT in der Pfsense einstellen.

Allerdings würde ich ja dann Probleme mit meinen Telefonen bekommen, wenn ich die FB nur als Modem nutze...


Grüße
 
Was empfiehlst du ?
Zum Vergrößern anklicken....
Das OS mit dem du dich besser auskennst. Es nützt nichts wenn der Pi unsauber eingerichtet ist und mit dem erst besten Exploit für den FTP Daemon übernommen wird. Ich persönlich bin Windows Mensch und würde Windows mit IIS oder Filezilla nutzen (je nachdem ob ein Server oder ein Client OS genutzt wird)

Dann über die Aufgabenplanung den kompletten Dienst nur zu Zeiten starten in denen es dir passt oder die Berechtigungen zeitgesteuert anpassen (Tagsüber nur List Rechte vergeben, Nacht auch lesen z.B.)

Wenn ich die Fritzbox nur als Modem benutzen würde, würde das mit dem doppelten NAT entfallen oder??
Zum Vergrößern anklicken....
Ja, allerdings entfallen dann auch deine Telefone.
 
Problem ist das die aktuellen Fritzboxen sich nicht mehr nur als Modem betreiben lassen das hatte AVM irgendwann entfernt.
 
@ Masamune2:

Da hast du vollkommen Recht.

Ich habe über einen Raspberry Pi per Fhem meine Haussteuerung am laufen.

Ich würde gerne den Raspberry Pi einsetzten.
Wegen dem geringen Stromverbrauch und dem geringen Platzverbrauch.


Wenn doch nur Windows 10 schon sauber auf einem Raspberry Pi laufen würde :(:(


Das mit der Aufgabenplanung ist eine super Idee, hätte ich auch drauf kommen können :D :D .





@ FrankvanLight:

JAAAAAA leider...
 
Je nach Fritzbox ist das Feature noch enthalten... Meine unitymedia-6490 zB könnte es immer noch (per Deeplink direkt auf die Funktion, die ist nicht verschlossen), allerdings nutze ich es nicht, da es auch so tadellos funktioniert: FB hat UTM als exposed host, die macht dann NAT und fertig...
 
okay, werde ich wohl auch so einrichten.

Danke nochmal an alle, nun sind meine Unklarheiten beseitigt und ich kann die nächsten Wochen ans testen gehen.

Nochmal meine geplante Konfiguration:

Ich werde die Fritzbox für meine Telefone nutzen und dort ein Exposed Host auf meine Pfsense Firewall einrichten.

Bei der Pfsense Firewall werde ich wohl eine Hardware Variante nutzen.
Die Pfsense Firewall wird dann das NAT übernehmen.


Als FTP Server nutze ich ein Windows Betriebssystem mit Filezilla auf einem NUC.
Auf dem FTP Server werde ich einen eigenen Benutzer mit nur lesenden Zugriff auf die FTP freigaben und auf das Installationsverzeichnis einrichten.

Dann mal sehen ob alles wie gewünscht funktioniert.

Es geht nun noch einige Wochen bis die Hardware und die Zeit vorhanden ist.



Grüße Gerber
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Delgado
ftp-Server: Ordner werden bei Synchronisation nicht gefunden
Antworten
16
Aufrufe
1.334
Delgado
Delgado
StarAce
FTP-Server für Reolink Argus 3 Pro einrichten
Antworten
3
Aufrufe
1.298
StarAce
StarAce
B
VLC Media Player als FTP Server an FritzBox Festplatte (NAS)
Antworten
3
Aufrufe
2.260
BongDealer
B
N
FTP Server für IP Kamera Überwachung Bilder gesucht
Antworten
3
Aufrufe
705
derlorenz
derlorenz
einfachpeer
Kostenloser FTP Server
2 3
Antworten
49
Aufrufe
2.359
einfachpeer
einfachpeer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 175 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz