Svenbo
Lieutenant
- Registriert
- Okt. 2007
- Beiträge
- 914
Hallo liebe CB User!
Ich habe aktuell ein kleines Verständnisproblem mit folgender Ausgangssituation:
Es ist geplant einen FTP Server für die Firma aufzusetzen.
Dieser FTP Server soll (um besseren Schutz zu gewährleisten) in einer DMZ so arbeiten, dass er von zwei Firewalls abgeschirmt wird (Eine von der Externen Seite hin zum Internet, und den anderen von der internen Seite, hin zum LAN).
Von der Seite des Internets sollen nur Pakete mit dem entsprechenden Port (21 für FTP Steuerungsanweisungen) durchkommen.was ist mit 20 für den Datenverkehr? Diesen Port müsste ich ebenso weiterleiten an meinen FTP Server wenn ich dem Internetuser einen Upload gestatten will?!
Die restlichen Pakete welche von Außen eintreffen werden verworfen.
Dem FTP Server selbst darf es dann natürlich ebenso nicht möglich sein irgendeine Art von Datenverkehr oder Kommunikation in das internen Netz (LAN) durchzuführen. Ergo wir blocken sämtlichen Datenverkehr welcher von der Quelle FTP Server zum Ziel internes Netzwerk ensteht und verwerfen die Pakete.
Das interne Netz sowie der FTP Server haben natürlich freie Bahn hin zum Internet also zur externen Firewall und können dorthin sämtliche Arten von Paketen versenden.
Jetzt zu meinem Verständnisproblem:
Wie soll ich dann also Nutzer des internen Netzwerks (LAN) mir Pakete vom FTP Server ziehen?
Ich erreiche zwar den FTP, kann diesen auch Pingen, oder Daten senden, aber der FTP sieht mich doch gar nicht. Ergo er kann mir keine Daten senden, er kann mich auch nicht pingen.
Oder stehe ich einfach nur auf dem Schlauch, und der FTP Server sendet die Daten an die Firewall und diese dank NAT Regelung wieder zu meinem Clienten welcher die Pakete anfordert?
Das würde also bedeuten ich muss Zugriffe vom FTP Server auf meine interne Firewall zulassen, aber ich darf der Firewall nicht erlauben Daten welche direkt vom FTP Server stammen in das interne Lan zu versenden.
Falls ich gerade für Verwirrung sorge entschuldige ich mich schoneinmal im vorraus.
Danke für eure Hilfe
Grüße,
XziTe
Ich habe aktuell ein kleines Verständnisproblem mit folgender Ausgangssituation:
Es ist geplant einen FTP Server für die Firma aufzusetzen.
Dieser FTP Server soll (um besseren Schutz zu gewährleisten) in einer DMZ so arbeiten, dass er von zwei Firewalls abgeschirmt wird (Eine von der Externen Seite hin zum Internet, und den anderen von der internen Seite, hin zum LAN).
Von der Seite des Internets sollen nur Pakete mit dem entsprechenden Port (21 für FTP Steuerungsanweisungen) durchkommen.was ist mit 20 für den Datenverkehr? Diesen Port müsste ich ebenso weiterleiten an meinen FTP Server wenn ich dem Internetuser einen Upload gestatten will?!
Die restlichen Pakete welche von Außen eintreffen werden verworfen.
Dem FTP Server selbst darf es dann natürlich ebenso nicht möglich sein irgendeine Art von Datenverkehr oder Kommunikation in das internen Netz (LAN) durchzuführen. Ergo wir blocken sämtlichen Datenverkehr welcher von der Quelle FTP Server zum Ziel internes Netzwerk ensteht und verwerfen die Pakete.
Das interne Netz sowie der FTP Server haben natürlich freie Bahn hin zum Internet also zur externen Firewall und können dorthin sämtliche Arten von Paketen versenden.
Jetzt zu meinem Verständnisproblem:
Wie soll ich dann also Nutzer des internen Netzwerks (LAN) mir Pakete vom FTP Server ziehen?
Ich erreiche zwar den FTP, kann diesen auch Pingen, oder Daten senden, aber der FTP sieht mich doch gar nicht. Ergo er kann mir keine Daten senden, er kann mich auch nicht pingen.
Oder stehe ich einfach nur auf dem Schlauch, und der FTP Server sendet die Daten an die Firewall und diese dank NAT Regelung wieder zu meinem Clienten welcher die Pakete anfordert?
Das würde also bedeuten ich muss Zugriffe vom FTP Server auf meine interne Firewall zulassen, aber ich darf der Firewall nicht erlauben Daten welche direkt vom FTP Server stammen in das interne Lan zu versenden.
Falls ich gerade für Verwirrung sorge entschuldige ich mich schoneinmal im vorraus.
Danke für eure Hilfe
Grüße,
XziTe
Zuletzt bearbeitet:
