Server BFTP und Personal Firewall

A

asmutk

bekommt Übersicht
Hi,

ich hab ein großes Problem. Ich habe BFTP auf meinem PC installiert und mit Hilfe der deutschen Anleitung auch konfiguriert. Aber es funktioniert nur, wenn ich Symantec Personal Firewall abstelle. Ich habe auch Zone Alarm ausprobiert und versucht damit klar zu kommen, aber alles in englisch ist für mich nicht machbar. Weis jemand, was ich wo einstellen muß, damit es geht?

asmutk


P.S. ohne Firewall ist mir das zu gefährlich einen Server zu betreiben.
 
@Supernature

ja, diesen Beitrag habe ich auch schon gelesen. Ich suche schon seit Stunden nach dieser Option, aber ich finde nichts. Es muß aber doch gehen. Bloß wie?
Da ich auch alle deine anderen Anleitungen und Anregungen gelesen habe, habe ich ja auch Zone Alarm ausprobiert. Aber mit dem was ich da eingestellt habe, habe ich dann nicht mal mehr den Explorer dazu bewegen können ins Internet zu gehen. :eek: Die deutsche Anleitung zum Einstellen von Zone Alarm passt nicht zur Version 3 und deshalb habe ich dann auch nicht mehr durchgesehen. Ich muß also eine Lösung für Norton finden. Ich werd die Frage auch mal in die CCB Community stellen, vielleicht hat ja zufällig schon einer das Problem lösen können.
Wenn du noch eine Idee hast, dann schreibe sie mir bitte.

asmut


P.S. Ist übrigens ein tolles Board hier :cool:
 
Danke für das Lob und viel Erfolg bei Deinen Bemühungen, ich werde es auch mal mit beobachten.
Vielleicht gibt es ja doch noch eine Lösung.
 
Lösung ?

@Supernature

also 2 Kannen Kaffee und 2 Liter Bier hat es gekostet und ca. 8 h suchen... :D

Dabei scheint alles ganz einfach zu sein. Für alle, die das gleiche Problem haben:

1. Ich nutze WinXP und habe dort die Firewall deaktiviert.
2. Der Server ist BFTP.
3. Die Firewall ist Norton Personal Firewall 2002 (ist wohl das gleiche wie Norton Internet Security 2002)
4. Ich habe auch Norton System Works 2002 installiert und da auch die Firewall integriert.
5. Ich nutze flashfxp
6. der Internet Explorer 5 ist installiert.


Zuerst habe ich diese Einstellung gesucht, wo ich die "blockierten Anschlüsse verbergen" deaktivieren kann. Klickt man doppelt auf das Icon im Systray, geht das Norton System Works Fenster auf. Dann ganz oben auf Optionen klicken, den Rest findet ihr selbst. Das hat aber für mein Problem nicht geholfen. Sind aber ganz interessante weitere Einstellmöglichkeiten dabei.

Die Lösung ist wohl ganz trivial. Nach Doppelklick auf den Systray von Norton Personal Firewall geht ja dieses Fenster auf, in dem man Einstellungen machen kann. Dieses Fenster läßt sich nicht vergrößern. Deshalb habe ich alle Einstellungen, die ich gesehen habe durchsucht und immer wieder was geändert, aber ohne Erfolg. Das Fenster lässt sich aber nach unten scrollen und dann erscheinen die Funktionen "Internetgruppen" und "Zugriffsschutz" Dort trägt man dann seine dyndns.org eigene IP ein und schon geht es. Dann habe ich dort auch noch gleich alle anderen vertrauten Computer eingetragen und kann diese jetzt auch ohne Deaktivierung von flashfxp aufrufen, was logischerweise vorher auch nicht klappte.

Fazit: eigene Dummheit schützt vor Strafe nicht, aber ich habe es einfach nicht gesehen und in allen Supports stand einfach nichts, was weiter helfen konnte.

asmutk


P.S. Also entscheidend ist der Eintrag der entsprechenden IP (oder der Internetadresse) in "Internetgruppen"
 
ich noch mal...

da hatte ich mich wohl zu früh gefreut. Nachdem ich heute meinen PC hochgefahren hatte, ging es wieder nicht. Dann habe ich in Norten Personal Firewall unter Optionen-Andere-HTTP Anschlußliste die Ports 20 und 21 hinzugefügt. Damit ging dann wieder der Zugriff von aussen. Jetzt konnte ich aber mit flashfxp nicht mehr auf das Internet zugreifen, selbst wenn ich die Firewall abgeschaltet hatte. Ich habe dann die Firewall kompett wieder deinstalliert.

Danach habe ich wieder Norton Internet Security 2002 installiert. Bei Ausführung des Assistenten habe ich Kindersicherung verneint, die Programme automatisch suchen lassen und !! die Netzwerkkartenerkennung ausgeführt. Dann habe ich BFTP und flashfxp gestartet und eine Verbindung zum Server hergestellt. Die Anfragen von den Warnfenstern habe ich dann für beide Programme mit "Internetzugriff immer zulassen beantwortet. Alle Accounts auf die ich mit flashfxp zugreifen wollte, habe ich dann in die Liste "Internetgruppen" eingetragen. Jetzt klappte auch die Einwahl dorthin (In dieser Liste stand schon die Netzwerkkarte). Dann habe ich die Einwahl von aussen (über freenet.de) versucht und es ging. Neustart, neuer Test, ging immer noch.

Irgendwann habe ich dann noch die dyndns.org eigene IP (also asmut.homeftp.net) in die "Internetgruppe" mit eingetragen. Danach wieder Neustart und Test mit der Folge, das die Einwahl von aussen nicht mehr ging. Ich habe diese Adresse wieder entfernt, aber es ging weiterhin nicht. Der letzte Hoffnungsschimmer, noch einmal Neustart und siehe da jetzt geht es wieder.

Einige Einstellungen scheinen also immer erst nach einem Neustart zu wirken.

Also, nichts verändern in den Einstellungen und in die Liste der "Internetgruppe" die vertrauten Computer eintragen (auch falsch gesperrte habe ich gleich dort eingetragen und nicht über den Zugriffschutz verschoben. Sie fliegen dann dort aus der Sperre automatisch raus)

So, Ende meines Romans. Ich hoffe mal, damit Leidensgefährten geholfen zu haben.


Ihr könnt ja mal testen, ob Ihr auf meinen Server kommt.

asmut.homeftp.net

Benutzername und Passwort: test
 
Hallo asmutk,
vielen Dank für Deinen ausführlichen Erfahrungsbericht. Ich hoffe natürlich für Dich, dass das Problem jetzt gelöst ist und will Dir keine Angst machen, aber so war es bei mir auch: Nach Neustart der Firewall klappte zunächst alles - nach 1-2 Stunden machte Norton dann wieder dicht.
Melde Dich doch gegen 16 Uhr nochmal ;)
 
das wäre ja was, wenns so kommt :eek:

Ich hab gerade noch mal getestet über freenet und habe Einwahl. Na ich bin ab 16:00 Uhr bereit

asmutk
 
:devil tja du hast recht, ging nach einer Weile nicht mehr. Aber ich glaube, ich habe den Fehler jetzt (hoffentlich!!!!!!!) gefunden. Unter "Internetzugriffssteuerung" den Gene G6 FTP Server anklicken, dann "ändern" anklicken. Dann im aufgehenden Fenster "Für diese Anwendung den Internetzugriff konfigurieren" wählen. Da sind dann 3 Einträge (2 für abgehend 1 für ankommend). Für die abgehenden habe ich folgende Anschlüsse eingetragen:

TCP Anschlüsse remote ports 1024-5000
TCP local Anschluss 20 (stand schon drin) und remote Anschluss 22

für ankommend:

TCP local Anschluss 21


dann Neustart. Seitdem geht es wieder :) , fragt sich nur, wie lange...


Mir scheinen die Ports auch recht großzügig gewählt. Kann ich da noch was verändern?

asmutk
 
gerade kam noch ein neuer für ankommend hinzu (ich hatte eine Verbindung per IE hergestellt)

TCP local Anschluß 14092

asmutk
 
Das werden noch unzählige mehr werden, das sind die passive Ports, welche für die Initialisierung der Datenübertragung benötigt werden.
Lies Dir dazu bitte mal folgenden Beitrag durch:
http://www.supernatureforum.de/vbb/showthread.php?s=&threadid=6222
Ich hatte wie gesagt alles bis ins feinste Detail konfiguriert, auch wie Du es eben beschrieben hast.
Den Port 22 solltest Du aber wieder rausnehmen, der wird definitiv nicht benötigt.
 
hast du schon die Version Norton Internet Security 2002 benutzt bei deinen Tests? Falls ja muß ich wohl damit rechnen das bald wieder nichts geht. Na mal abwarten.

Ich will den direkten Download auch mit IE von der homepage aus ermöglichen. Muß ich da im Server den passiv Modus erlauben und falls ja welchen Bereich sollte ich freigeben? Ich hatte übrigens im Server kein Häckchen für den passive Mode. Nachdem ich die Meldungen von NIS aber immer bestätigt habe, bin ich auch auf den Server gekommen.

asmutk
 
Ja, ich hatte auch NIS2002 im Einsatz
Wenn Du Browser-Downloads ermöglichen willst dann ist der passive Mode unumgänglich. Eine Empfehlung, welche Ports und wieviele dafür freizuschalten sind, kann ich Dir leider nicht geben. Steig doch einfach mal mit 50000 bis 51000 ein, da dürfte es eigentlich kaum zu Kollisionen kommen. Du erwartest ja keinen größeren Ansturm, oder?
 
ich habe den passiv Mode aktiviert und auch in NIS diesen Bereich eingegeben, aber dann meldet der anfordernde PC immer einen Fehler. Ich werde mal neu starten, vielleicht gehts dann. Ist das eigentlich ein hohes Angriffsrisiko diese Ports frei zu geben? Dann lasse ich es doch lieber. Aber ich weiss nicht, wie ich diesen Modus in BFTP verbieten kann.

asmutk

P.S. nein kein Massenansturm. Der Server soll nur für gelegentliche Softwarehilfe dienen.
 
Ich würde sagen, es ist ein zusätzlicher Angriffspunkt. Zu einem zusätzlichen Risiko wird es erst, wenn jemand auf Dich "losgeht".
 
also das mit dem passive Mode kriege ich nicht hin. Wenn ich da das Häckchen mache, dann bekomme ich seit der Begrenzung keine Verbindung und wenn ich es rausnehme, dann immer die nervige Warnmeldung. Was mache ich da falsch? Wie kann ich den passive Mode auch verbieten?

asmutk

P.S. ansonsten geht aber noch alles.
 
Bei "passive Mode IP" machst Du aber keinen Haken, oder? Darfst Du nämlich nicht, lediglich der passive Port Range ist von Relevanz.
(weitere Antworten erst wieder morgen, hab heute meinen freien Abend ;))
 
ich habe gestern noch hin und her getestet und jetzt klappt das auch mit den passiven Ports. BFTP hat diese ordentlich verarbeitet nur NIS weigert sich einfach einen Portbereich zu akzeptieren :devil . Deswegen muß ich jeden einzelnen Port per Hand eintragen. Da ich aber höchstens mal 2 Besucher gleichzeitig habe, müßte ich doch erst einmal mit 100 auskommen, oder? Das sind übrigens locale Ports. In NIS sind aber auch remote Ports 1024-5000 eingetragen (stand schon drin), brauche ich die? NIS arbeitet ansonsten jetzt problemlos, ich hoffe mal das bleibt so.

asmutk
 
Im PASV-Modus sind es remote Ports, weil die Verbindung ja von aussen kommt, ist also schon richtig so.
Kompliment an Deine Ausdauer, ich hätte schon längst alles in die Ecke gepfeffert. :)
 
Hi


ich will mich mal wieder melden und berichten. Also es läuft alles ohne Probleme. Die Ports habe ich jetzt so nach und nach immer einzeln freigegeben, wenn einer über IE auf den Server zugriff. Es sind aber locale Ports, keine remote. Damit habe ich nun Port 20 und 21 sowie local Port 50000-50040 in Benutzung, der Rest ist gesperrt.

asmutk
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben