Firewall und Transmit sowie iTunes

stehlampe

Grahams Jubiläumsapfel
Registriert
14.03.06
Beiträge
103
Hi wir nutzen OSX Server in der momentan neusten Version und nun haben wir das Problem das Transmit FTP (egal ob Aktiver oder Passiver FTP Modus) nur läuft wenn die Firewall deaktiviert ist, das selbe Problem haben wir mit iTunes und den Radiostationen dort, da jede auf anderen Ports sendet? Hat jemand einen Tip wie wir die Firewall nutzen können damit iTunes und Transmit funktioniert?

Grüße und Danke!
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Dann gib uns doch mal ein paar Infos zum Setup! Internetzugang, Firewall Konfiguration, LAN IP Range, Router, etc.

Wenns ohne Firewall geht und mit nicht, dann istt grundsätzlich zu vermuten, daß es eng damit zusammenhängt. Ohne weitere Details ist da jedoch jegliche Mühe vergebens, da Raten in dem Fall niemandem was bringt.
Gruß Pepi
 

stehlampe

Grahams Jubiläumsapfel
Registriert
14.03.06
Beiträge
103
-Mac OS X 10.4.8 Server auf Mac Pro inkl. alle aktuellen Updates
-2000er DSL von 1und1
-IP EN 0 192.168.178.3
-IP EN 1 192.168.2.1
--DHCP von 192.168.2.10 - 192.168.2.149
--VPN von 192.168.150 - 192.168.2.249
--DNS auf 192.168.2.1
--Nat am Laufen (IP Weiterleitung und NAT auf Ethernet 1)
--VPN mit L2TP und MS-CHAPv2 Ident sowie IPsex Shared Secret Key

noch was :) ?
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Und von wo kannst Du nun wohin genau zugreifen oder nicht zugreifen?

Verwendest Du den Mac OS X Server als Router für das komplette LAN oder hast Du noch einen anderen Router? zu welchem Zweck hast Du zwei verschiedene Private Ranges auf den beiden Ethernet Interfaces? Funktioniert der Zugriff vom Server aus? Was für Ports sind am Firewall (jetzt konkret FTP betreffend) freigegeben und für welche IP Ranges sind die Freigegeben?

IPSex... hochinteressant, öffne hierzu doch bitte einen eigenen Thread! :)
Gruß Pepi
PS: Juhuu, mein 2k. Posting!
 

stehlampe

Grahams Jubiläumsapfel
Registriert
14.03.06
Beiträge
103
öhm ja ip sex .-)
ok zum thema:

Verwendest Du den Mac OS X Server als Router für das komplette LAN oder hast Du noch einen anderen Router? Zu welchem Zweck hast Du zwei verschiedene Private Ranges auf den beiden Ethernet Interfaces?

Ich nutze eine fritzt.box als "Einwahlmodem" fürs DSL. Die fritz.box arbeitet sozusagen als Half-Bridge, da Mac OSX nicht auf eine dynamische IP routen kann. Somit liefert meine fritz.box eine Feste-IP und es funktioniert. Diese nutze ich um den Mac OSX Server als Gateway eingestellt zu haben. Daher die 2 verschiedenen Ranges.

Funktioniert der Zugriff vom Server aus?
Was meinst Du damit genau? Es funktioniert eigentlich alles bis auf FTP wenn die Firewall angeschaltet ist. (und vpn aber das ist ein anders Thema .-) )

Was für Ports sind am Firewall (jetzt konkret FTP betreffend) freigegeben und für welche IP Ranges sind die Freigegeben?
Es ist für das 192.168.2-net, also 192.168.2.1:255.255.255.0, der Dienst "FTP-Dienst" Port 20-21 freigeben.

Das scheint auch zu funktionieren. Nur versucht mein FTP-Programm wie wild hohe Ports zu nutzen, die sind leider willkürlich und somit natürlich nicht freigegebn.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Die "willkürlichen hohen Ports" sind die sogenannte IP Passive Range. Das ist bei Passive vollkommen normal und auch notwendig, da sonst ein Betrieb eines FTP Servers nicht möglich ist. Du mußt also die entsprechenden Ports am Firewall öffnen.
Die von der IANA für Passive FTP freigegebenen Ports sind 49152-65534/tcp. Du kannst die Passive Range bei manchen FTP Servern auch selbst einstellen. Ich muß gestehen, daß ich nicht weis ob der Mac OS X Server FTP Server das kann. Schau mal in die Konfig files, per GUI gehts auf keinen Fall. (Ich selbst verwende einen selbst compilierten PureFTPd als FTP Server. Dort weis ich, daß man es einstellen kann.)


Warum verwendest Du den Mac überhaupt als Router? Soweit ich das sehen kann ist das doch garnicht notwendig, oder? Portforwarding auf der Fritzbox einrichten und fertig.
Gruß Pepi
 

stehlampe

Grahams Jubiläumsapfel
Registriert
14.03.06
Beiträge
103
Genau das ist das Problem. Der FTP Server läuft nicht (!) auf dem Mac OSX Server sondern irgendwo im Netz als Webserver :) Aber muss die Range normal nicht am Client Programm eingestellt werden => also in meinem Fall bei Transmit??? Ich will also "nur" über meine internen Agentur Mac OSX Server auf unseren externen FTP Server per Client (iMac mit OSX) zugreifen.
 

ezi0n

Leipziger Reinette
Registriert
07.07.05
Beiträge
1.786
Genau das ist das Problem. Der FTP Server läuft nicht (!) auf dem Mac OSX Server sondern irgendwo im Netz als Webserver :) Aber muss die Range normal nicht am Client Programm eingestellt werden => also in meinem Fall bei Transmit??? Ich will also "nur" über meine internen Agentur Mac OSX Server auf unseren externen FTP Server per Client (iMac mit OSX) zugreifen.

nein der server sagt dem client welchen port er nutzen soll bzw welche range er nutzen kann (passiver ftp), alles andere wäre aus sicht des servers eine neue verbindung von client - somit würde die firewall diesen zugriff blocken... bei activem ftp übergibt der client den port für den datenkanal über den control channel und genau das ist in deinem fall bei aktivem ftp das problem..

die pasv port range muss am server eingestellt werden..

gruß
ezi
 

stehlampe

Grahams Jubiläumsapfel
Registriert
14.03.06
Beiträge
103
Super Danke! Jetzt wirds klarer. Dann dürfte es kein problem sein einzustellen. Danke.
 

stehlampe

Grahams Jubiläumsapfel
Registriert
14.03.06
Beiträge
103
ok, ich nochmals .-) das einstellen hat geklappt aber folgende überlegung von einem befreundeten Admin - was meint Ihr dazu? Recht hat er ja:

natürlich kann man den Portrange auf dem Server einschränken. Aber was
bringt das? Vielviel willst du freigeben? 10? Was machst du, wenn du
mehr als 10 FTP-Verbindungen gleichzeitig hast? Willst du 100 freigeben?
Dann kannst du gleich wieder alle freigeben. Was machst du, wenn du auf
einen anderen FTP-Server willst, den du nicht selbst konfigurieren kannst?
Du kannst alle oder einen ausgehenden Port freigeben, das machst aus
Security-Sicht keinen unterschied. Weniger Ports bringen nur etwas
obscurity ;)
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Mehr als 10 gleichzeitige Verbindungen gehen dann nicht wenn Du nur 10 Ports freigegeben hast. So einfach ist das. Wenn Du mehr gleichzeitige Verbindungen zulassen möchtest, mußt Du eine größere Range hergeben.

Eingehende Ports und ausgehende Ports haben in dem Fall nichts miteinander zu tun! Es geht ausschließlich darum eingehende Ports freizugeben. Um Deine ausgehenden Verbindungen kümmert sich schon das NAT und das vergibt die entsprechenden Ports dann sowieso nicht.

Über Security bei FTP zu diskutieren ist meiner Ansicht nach ohnehin blasphemisch. Zumindest solange man keine Verschlüsselung verwendet. Immerhin bläst FTP ja alle Logins und Passwörter im Klartext durch die Welt.
Gruß Pepi
 
Zuletzt bearbeitet:

stehlampe

Grahams Jubiläumsapfel
Registriert
14.03.06
Beiträge
103
Das stimmt natürlich auch - FTP und Sicherheit ist etwas lustiges .-) Danke auf jeden Fall für die Hilfe es klappt soweit :)