ftp en firewall

Edbou · 16 jan 2014

Hoi,

sinds kort heb ik de volgende probleem: met een IPv4 bescherming op medium ingesteld in de firewall van mijn modem (ubee EVW3200) , de FTP service is niet meer toegestaan. Dat betekent dat ik geen toegang kan krijgen naar de ftp van mijn website. Alleen ftp-s is toegestaan met deze instelling, maar dat is niet ondersteund door de host.

Weet iemand of deze instelling aangepast kan worden op de ubee, en hoe? Of moet ik (niet wenselijk) met een laag bescherming van de firewall werken?

Alvast bedankt voor de antwoorden.

EB

ton250 · 19 jan 2014

Edbou zei:
Hoi,

sinds kort heb ik de volgende probleem: met een IPv4 bescherming op medium ingesteld in de firewall van mijn modem (ubee EVW3200) , de FTP service is niet meer toegestaan. Dat betekent dat ik geen toegang kan krijgen naar de ftp van mijn website. Alleen ftp-s is toegestaan met deze instelling, maar dat is niet ondersteund door de host.

Weet iemand of deze instelling aangepast kan worden op de ubee, en hoe? Of moet ik (niet wenselijk) met een laag bescherming van de firewall werken?

Alvast bedankt voor de antwoorden.

EB

Firewall weer op 'low' zetten en in de 'Gateway Opties' 'ports' blokkeren die je niet gebruikt.

CeeS · 19 jan 2014

De firewall op laag zetten of zelfs uit is niet zo 'eng' als je zou denken, voor binnenkomende verbindingen beschermd de NAT firewall in je router je al. De firewall gaat over uitgaande verbindingen, die kun je ook in je computer tegenhouden. De firewall in het modem is dan 'extra', deze uitschakelen of op laag zetten geeft niet veel extra risico.

ton250 · 19 jan 2014

CeeS zei:
De firewall op laag zetten of zelfs uit is niet zo 'eng' als je zou denken, voor binnenkomende verbindingen beschermd de NAT firewall in je router je al. De firewall gaat over uitgaande verbindingen, die kun je ook in je computer tegenhouden. De firewall in het modem is dan 'extra', deze uitschakelen of op laag zetten geeft niet veel extra risico.

Het is een groot misverstand dan NAT bescherming biedt.
Bij een verbinding met een website, kan de website een verbinding opbouwen met je PC. NAT beschermt je dan niet.
Ports dicht zetten die je niet gebruikt is gewoon verstandig.

CeeS · 19 jan 2014

ton250 zei:
Het is een groot misverstand dan NAT bescherming biedt.
Bij een verbinding met een website, kan de website een verbinding opbouwen met je PC. NAT beschermt je dan niet.
Ports dicht zetten die je niet gebruikt is gewoon verstandig.

Elk virus of trojan kan je computer opdracht geven een verbinding naar buiten te maken. Bij bezoek aan een website bouwt je computer een verbinding op met een uitgaande poort van jou en de bestemmingspoort van de website (meestal poort 80). De website heeft op dat moment een verbinding naar jouw uitgaande poort. Niet naar een andere poort. Als die website een verbinding op wil bouwen naar een poort die niet geforward is in je router kan hij niet op je PC terechtkomen.

Wel kan door een aanval via een 'gat' in je bescherming op de PC (oude javaversies op je pc en andere hacks) je computer gehacked worden, maar dat voorkom je niet door "alle ongebruikte inkomende poorten dicht te zetten".

ton250 · 20 jan 2014

CeeS zei:
Elk virus of trojan kan je computer opdracht geven een verbinding naar buiten te maken. Bij bezoek aan een website bouwt je computer een verbinding op met een uitgaande poort van jou en de bestemmingspoort van de website (meestal poort 80). De website heeft op dat moment een verbinding naar jouw uitgaande poort. Niet naar een andere poort. Als die website een verbinding op wil bouwen naar een poort die niet geforward is in je router kan hij niet op je PC terechtkomen.

Wel kan door een aanval via een 'gat' in je bescherming op de PC (oude javaversies op je pc en andere hacks) je computer gehacked worden, maar dat voorkom je niet door "alle ongebruikte inkomende poorten dicht te zetten".

Vroeger in mijn jeugdige onschuld dacht ik dat ook. Tot ik in de log van Zonealarm ontdekte dat er dus wel degelijk pogingen werden gedaan om een verbinding op te bouwen vanaf Internet met mijn pc.
In het TCP protocol is zelfs ingebouwd dat je het locale adres van een host (je pc) kan opvragen. Dat is onder andere nodig voor VOIP.

CeeS · 20 jan 2014

ton250 zei:
Vroeger in mijn jeugdige onschuld dacht ik dat ook. Tot ik in de log van Zonealarm ontdekte dat er dus wel degelijk pogingen werden gedaan om een verbinding op te bouwen vanaf Internet met mijn pc.
In het TCP protocol is zelfs ingebouwd dat je het locale adres van een host (je pc) kan opvragen. Dat is onder andere nodig voor VOIP.

Zelfs als de 'tegenpartij' het lokale ip-adres van jouw computer weet kan een externe computer nooit uit zichzelf een verbinding opzetten via jouw NAT router naar een bepaalde poort op jouw computer. Daarvoor moet eerst een verbinding open gezet worden. De enige manier om een NAT firewall open te zetten voor een inkomende verbinding is door een Trojan/Virus die een uitgaande verbinding opzet, of door via UPNP een poort open te zetten. Wat jij gezien hebt in Zonealarm zal vermoedelijk verkeer geweest zijn wat vanuit jouw computer geïnitieerd is.

Wat bedoel je trouwens met :

in de 'Gateway Opties' 'ports' blokkeren die je niet gebruikt.

Want die optie zie in niet bij Options in het gateway menu in deze handleiding. Alle ports (1-65535) wil je echt niet allemaal blokkeren en dat zit op een andere pagina van het menu zo te zien.

ton250 · 20 jan 2014

CeeS zei:
Zelfs als de 'tegenpartij' het lokale ip-adres van jouw computer weet kan een externe computer nooit uit zichzelf een verbinding opzetten via jouw NAT router naar een bepaalde poort op jouw computer. Daarvoor moet eerst een verbinding open gezet worden. De enige manier om een NAT firewall open te zetten voor een inkomende verbinding is door een Trojan/Virus die een uitgaande verbinding opzet, of door via UPNP een poort open te zetten. Wat jij gezien hebt in Zonealarm zal vermoedelijk verkeer geweest zijn wat vanuit jouw computer geïnitieerd is.

Wat ik heb geschreven is dat als je contact hebt met een website, dan kan deze website een verbinding opzetten naar je PC. NAT beschermt je hier niet tegen. Wat ik gezien heb is dat vanuit Internet sommige sites een verbinding proberen te initiëren. Verder stop ik hier de discussie over, het leidt tot niets.

CeeS zei:
Wat bedoel je trouwens met :

Want die optie zie in niet bij Options in het gateway menu in deze handleiding. Alle ports (1-65535) wil je echt niet allemaal blokkeren en dat zit op een andere pagina van het menu zo te zien.

Bij Options in de Gateway worden functies genoemd. Die zijn gerelateerd aan port nummers.

Er is ook de mogelijkheid om port nummers in te vullen op een andere pagina, maar er zijn niet veel mensen die de moeite nemen om al die nummers uit te zoeken. Ik zelf filter dus direct op de port nummers. Uiteraard niet alle, maar wel zoveel mogelijk ports die ik niet gebruik. Het aantal lijnen is net te weinig om alles te coveren.
Sindsdien zie ik dus niets meer in Zonealarm.

CeeS · 20 jan 2014

ton250 zei:
Wat ik heb geschreven is dat als je contact hebt met een website, dan kan deze website een verbinding opzetten naar je PC. NAT beschermt je hier niet tegen. Wat ik gezien heb is dat vanuit Internet sommige sites een verbinding proberen te initiëren. Verder stop ik hier de discussie over, het leidt tot niets.

Jammer hoor. Ik kan verder niet zoveel met dit antwoord.

Ik zelf filter dus direct op de port nummers. Uiteraard niet alle, maar wel zoveel mogelijk ports die ik niet gebruik. Het aantal lijnen is net te weinig om alles te coveren.
Sindsdien zie ik dus niets meer in Zonealarm.

Je weet zelf nooit welke poorten je wel of niet gebruikt, aangezien bijvoorbeeld je browser en andere programma's uitgaand een (min of meer) willekeurig port nummer gebruikt om een verbinding op te zetten naar poort 80 van de tegenpartij. Als jij toevallig deze (uitgaande) port geblokkeerd hebt in je router werkt je verbinding naar die site ineens niet. Bij een volgende sessie waarbij je een andere port gebruikt werkt het weer wel.
Een willekeurige uitgaande poort levert dus ook inkomend verkeer op naar die willekeurige poort (omdat je zelf die verbinding hebt opgezet) wat je mogelijk blokkeert. Vaak is een TCP sessie nog niet gesloten als je bijvoorbeeld naar veel pagina's met je browser gegaan bent. Dat lijkt dan 'vreemd verkeer' naar willekeurige poorten, maar dat zijn gewoon verbindingen die je zelf opgezet hebt. Je kunt dan tientallen poorten zien. Met het commando 'netstat -n' in een dos-venster zie je deze bijvoorbeeld ook. Niets om wakker van te liggen. De NAT firewall heeft deze poorten open gezet en sluit deze op een gegeven moment weer.

PetervdM · 20 jan 2014

ton250 zei:
Wat ik heb geschreven is dat als je contact hebt met een website, dan kan deze website een verbinding opzetten naar je PC. NAT beschermt je hier niet tegen. Wat ik gezien heb is dat vanuit Internet sommige sites een verbinding proberen te initiëren. Verder stop ik hier de discussie over, het leidt tot niets.

Kul, kul en nog eens kul.

als dat zo zou zijn zou internet niet meer funktioneren, een zéér groot aantal verbindingen bevinden zich achter een NAT router ( gateway ), voor een nieuwe verbinding is de weg terug ontoegankelijk. een nieuwe verbinding is onmogelijk, tenzij portforwarding aanstaat.
wel kan zich op bv een website een element bevinden, bv een afbeelding van één pixel groot, die je onbedoeld en ongewenst leidt naar een andere site en/of een stuk malware.
vwb stateful services zoals bv in dit geval ftp kan het command channel op 21/tcp de firewall een tijdelijke port forward laten maken voor de in dat command channel afgesproken poorten. maar dan nog ben jij de initiator, jouw ftp client heeft die tijdelijke port forward bewerkstelligd.

ftp en firewall

Edbou

ton250

Forum Gebruiker

CeeS

ton250

Forum Gebruiker

CeeS

ton250

Forum Gebruiker

CeeS

ton250

Forum Gebruiker

CeeS

PetervdM

Forum Gebruiker

Deel deze pagina