PepeNiemand
New Member
Hallo,
ich habe in meinem Firewallsystem Probleme mit FTP. Folgenden Aufbau der Firewalls habe ich:
- Frontfirewall mit Portfilterung und policy based routing und NAT zum Zwischennetz
- Backfirewall mit Application Level Filtering und Aufsplittung in internes Netz und DMZ und erneutes NAT zum internen Netz und zur DMZ
Prinzipiell soll alles so sicher wie möglich sein, darum sollen alle Ports und Dienste gesperrt sein, die nicht explizit gebraucht werden. Das gilt für eingehenden wie für ausgehenden Transfer. Leider gehört FTP (samt Upload) zu den unverzichtbaren Protokollen (und ich hab mich wieder einmal gefragt, warum man das Sch..-Protokoll nicht mal in einem Update für Firewalls verträglicher macht).
Auf der Frontfirewall läuft OpenBSD 3.5. Um FTP zu ermöglichen, setzte ich den "Standard"-FTP-Proxy ein. In der pf.conf sind der entsprechende Redirect und (sehr widerwillig) die Portfreigaben eingerichtet. Prinzipiell funktioniert der FTP-Proxy auch, aber jetzt kommt das Problem:
Die FTP-Anfragen der internen Clients laufen über die "Backfirewall". Dort wird ein Application Filtering eingesetzt, das gewährleistet, dass es sich wirklich um FTP handelt und nur die benutzten sekundären Ports freigeschaltet sind. Während die FTP-Anfrage aber für die hintere Firewall an den externen FTP-Server geht, wird die sekundäre Verbindung direkt vom FTP-Proxy auf der OpenBSD-Firewall geschaltet. Das akzeptiert die hintere Firewall verständlicherweise nicht, weil sie eine Antwort vom externen Server erwartet.
Nach so viel "Geschnacke" kommt jetzt endlich meine Frage:
Hat jemand einen Lösungsansatz oder eine Idee für dieses Problem?
Außerdem würde mich interessieren, ob es vielleicht auch einen "intelligenten" Filter/Proxy für OpenBSD gibt, der Ports nur bei Bedarf freischaltet. Mir behakt es einfach nicht, dass eine ganze Reihe von eingehenden Ports auf der externen Firewall geöffnet werden.
Danke für eure Antworten,
P.
PS: Ihr habt es vielleicht schon gemerkt, aber das ist meine erste OpenBSD-Box. Also seid nachsichtig mit mir
ich habe in meinem Firewallsystem Probleme mit FTP. Folgenden Aufbau der Firewalls habe ich:
- Frontfirewall mit Portfilterung und policy based routing und NAT zum Zwischennetz
- Backfirewall mit Application Level Filtering und Aufsplittung in internes Netz und DMZ und erneutes NAT zum internen Netz und zur DMZ
Prinzipiell soll alles so sicher wie möglich sein, darum sollen alle Ports und Dienste gesperrt sein, die nicht explizit gebraucht werden. Das gilt für eingehenden wie für ausgehenden Transfer. Leider gehört FTP (samt Upload) zu den unverzichtbaren Protokollen (und ich hab mich wieder einmal gefragt, warum man das Sch..-Protokoll nicht mal in einem Update für Firewalls verträglicher macht).
Auf der Frontfirewall läuft OpenBSD 3.5. Um FTP zu ermöglichen, setzte ich den "Standard"-FTP-Proxy ein. In der pf.conf sind der entsprechende Redirect und (sehr widerwillig) die Portfreigaben eingerichtet. Prinzipiell funktioniert der FTP-Proxy auch, aber jetzt kommt das Problem:
Die FTP-Anfragen der internen Clients laufen über die "Backfirewall". Dort wird ein Application Filtering eingesetzt, das gewährleistet, dass es sich wirklich um FTP handelt und nur die benutzten sekundären Ports freigeschaltet sind. Während die FTP-Anfrage aber für die hintere Firewall an den externen FTP-Server geht, wird die sekundäre Verbindung direkt vom FTP-Proxy auf der OpenBSD-Firewall geschaltet. Das akzeptiert die hintere Firewall verständlicherweise nicht, weil sie eine Antwort vom externen Server erwartet.
Nach so viel "Geschnacke" kommt jetzt endlich meine Frage:
Hat jemand einen Lösungsansatz oder eine Idee für dieses Problem?
Außerdem würde mich interessieren, ob es vielleicht auch einen "intelligenten" Filter/Proxy für OpenBSD gibt, der Ports nur bei Bedarf freischaltet. Mir behakt es einfach nicht, dass eine ganze Reihe von eingehenden Ports auf der externen Firewall geöffnet werden.
Danke für eure Antworten,
P.
PS: Ihr habt es vielleicht schon gemerkt, aber das ist meine erste OpenBSD-Box. Also seid nachsichtig mit mir
