---

Vores Cisco 827 er udstyrret med nedenstående access-list 101 og jeg kan
ikke få FTP til at virke. Kan I hjælpe?
mvh
Anders

access-list 101 permit tcp any eq www any
access-list 101 permit tcp any eq ftp any
access-list 101 permit tcp any eq ftp-data any
access-list 101 permit tcp any eq 22 any
access-list 101 permit tcp any eq 119 any
access-list 101 permit tcp any eq 993 any
access-list 101 permit tcp any eq 995 any
access-list 101 permit tcp any eq 443 any
access-list 101 permit tcp any eq 554 any
access-list 101 permit tcp any eq 1755 any
access-list 101 permit tcp any eq 1863 any
access-list 101 permit tcp any eq 5190 any
access-list 101 permit tcp any any eq 5900
access-list 101 permit tcp any any eq 5901
access-list 101 permit tcp any any eq 5902
access-list 101 permit tcp any any eq 5903
access-list 101 permit tcp any any eq 5904
access-list 101 permit tcp any any eq 5905
access-list 101 permit tcp any any eq 5906
access-list 101 permit tcp any any eq 5907
access-list 101 permit tcp any any eq 5908
access-list 101 permit tcp any any eq 5909
access-list 101 permit tcp any any eq 5910
access-list 101 permit udp any any eq 5900
access-list 101 permit udp any any eq 5901
access-list 101 permit udp any any eq 5902
access-list 101 permit udp any any eq 5903
access-list 101 permit udp any any eq 5904
access-list 101 permit udp any any eq 5905
access-list 101 permit udp any any eq 5906
access-list 101 permit udp any any eq 5907
access-list 101 permit udp any any eq 5908
access-list 101 permit udp any any eq 5909
access-list 101 permit udp any any eq 5910
access-list 101 permit tcp any eq 3724 any
access-list 101 permit udp any eq 5004 any
access-list 101 permit udp any eq 5005 any
access-list 101 permit tcp any eq 6835 any
access-list 101 permit tcp any eq 6839 any
access-list 101 permit tcp any eq 6880 any
access-list 101 permit tcp any eq 7000 any
access-list 101 permit udp any eq 8086 any
access-list 101 permit udp any eq 8087 any
access-list 101 permit udp any eq 8443 any
access-list 101 permit udp any eq 8880 any
access-list 101 permit udp any eq 9081 any
access-list 101 permit udp any eq 9090 any
access-list 101 permit udp any eq 9091 any
access-list 101 permit udp any eq 9100 any
access-list 101 permit tcp any eq smtp any
access-list 101 permit tcp any eq pop3 any
access-list 101 permit tcp any eq 143 any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq 443
access-list 101 permit tcp any any eq 143
access-list 101 permit udp host 212.54.64.170 eq domain any
access-list 101 permit udp host 212.54.64.171 eq domain any
access-list 101 deny ip any any

---

Er det FTP servere Ude på nettet du ikke kan nå ?
Eller er det en FTP server der står på indersiden af denne accessliste der
ikke kan nås ?

/Thomas

"Anders Vedelsbøl" <anders@sofiegaarden.dk> wrote in message
news:0AvGe.62714$Fe7.201705@news000.worldonline.dk...
> Vores Cisco 827 er udstyrret med nedenstående access-list 101 og jeg kan
> ikke få FTP til at virke. Kan I hjælpe?
> mvh
> Anders
>
> access-list 101 permit tcp any eq www any
> access-list 101 permit tcp any eq ftp any
> access-list 101 permit tcp any eq ftp-data any
> access-list 101 permit tcp any eq 22 any
> access-list 101 permit tcp any eq 119 any
> access-list 101 permit tcp any eq 993 any
> access-list 101 permit tcp any eq 995 any
> access-list 101 permit tcp any eq 443 any
> access-list 101 permit tcp any eq 554 any
> access-list 101 permit tcp any eq 1755 any
> access-list 101 permit tcp any eq 1863 any
> access-list 101 permit tcp any eq 5190 any
> access-list 101 permit tcp any any eq 5900
> access-list 101 permit tcp any any eq 5901
> access-list 101 permit tcp any any eq 5902
> access-list 101 permit tcp any any eq 5903
> access-list 101 permit tcp any any eq 5904
> access-list 101 permit tcp any any eq 5905
> access-list 101 permit tcp any any eq 5906
> access-list 101 permit tcp any any eq 5907
> access-list 101 permit tcp any any eq 5908
> access-list 101 permit tcp any any eq 5909
> access-list 101 permit tcp any any eq 5910
> access-list 101 permit udp any any eq 5900
> access-list 101 permit udp any any eq 5901
> access-list 101 permit udp any any eq 5902
> access-list 101 permit udp any any eq 5903
> access-list 101 permit udp any any eq 5904
> access-list 101 permit udp any any eq 5905
> access-list 101 permit udp any any eq 5906
> access-list 101 permit udp any any eq 5907
> access-list 101 permit udp any any eq 5908
> access-list 101 permit udp any any eq 5909
> access-list 101 permit udp any any eq 5910
> access-list 101 permit tcp any eq 3724 any
> access-list 101 permit udp any eq 5004 any
> access-list 101 permit udp any eq 5005 any
> access-list 101 permit tcp any eq 6835 any
> access-list 101 permit tcp any eq 6839 any
> access-list 101 permit tcp any eq 6880 any
> access-list 101 permit tcp any eq 7000 any
> access-list 101 permit udp any eq 8086 any
> access-list 101 permit udp any eq 8087 any
> access-list 101 permit udp any eq 8443 any
> access-list 101 permit udp any eq 8880 any
> access-list 101 permit udp any eq 9081 any
> access-list 101 permit udp any eq 9090 any
> access-list 101 permit udp any eq 9091 any
> access-list 101 permit udp any eq 9100 any
> access-list 101 permit tcp any eq smtp any
> access-list 101 permit tcp any eq pop3 any
> access-list 101 permit tcp any eq 143 any
> access-list 101 permit tcp any any eq www
> access-list 101 permit tcp any any eq smtp
> access-list 101 permit tcp any any eq pop3
> access-list 101 permit tcp any any eq 443
> access-list 101 permit tcp any any eq 143
> access-list 101 permit udp host 212.54.64.170 eq domain any
> access-list 101 permit udp host 212.54.64.171 eq domain any
> access-list 101 deny ip any any
>
>

---

FTP servere ude på nettet.
mvh Anders

> Er det FTP servere Ude på nettet du ikke kan nå ?
> Eller er det en FTP server der står på indersiden af denne accessliste der
> ikke kan nås ?
>
> /Thomas
>
> "Anders Vedelsbøl" <anders@sofiegaarden.dk> wrote in message
> news:0AvGe.62714$Fe7.201705@news000.worldonline.dk...
> > Vores Cisco 827 er udstyrret med nedenstående access-list 101 og jeg kan
> > ikke få FTP til at virke. Kan I hjælpe?
> > mvh
> > Anders
> >
> > access-list 101 permit tcp any eq www any
> > access-list 101 permit tcp any eq ftp any
> > access-list 101 permit tcp any eq ftp-data any
> > access-list 101 permit tcp any eq 22 any
> > access-list 101 permit tcp any eq 119 any
> > access-list 101 permit tcp any eq 993 any
> > access-list 101 permit tcp any eq 995 any
> > access-list 101 permit tcp any eq 443 any
> > access-list 101 permit tcp any eq 554 any
> > access-list 101 permit tcp any eq 1755 any
> > access-list 101 permit tcp any eq 1863 any
> > access-list 101 permit tcp any eq 5190 any
> > access-list 101 permit tcp any any eq 5900
> > access-list 101 permit tcp any any eq 5901
> > access-list 101 permit tcp any any eq 5902
> > access-list 101 permit tcp any any eq 5903
> > access-list 101 permit tcp any any eq 5904
> > access-list 101 permit tcp any any eq 5905
> > access-list 101 permit tcp any any eq 5906
> > access-list 101 permit tcp any any eq 5907
> > access-list 101 permit tcp any any eq 5908
> > access-list 101 permit tcp any any eq 5909
> > access-list 101 permit tcp any any eq 5910
> > access-list 101 permit udp any any eq 5900
> > access-list 101 permit udp any any eq 5901
> > access-list 101 permit udp any any eq 5902
> > access-list 101 permit udp any any eq 5903
> > access-list 101 permit udp any any eq 5904
> > access-list 101 permit udp any any eq 5905
> > access-list 101 permit udp any any eq 5906
> > access-list 101 permit udp any any eq 5907
> > access-list 101 permit udp any any eq 5908
> > access-list 101 permit udp any any eq 5909
> > access-list 101 permit udp any any eq 5910
> > access-list 101 permit tcp any eq 3724 any
> > access-list 101 permit udp any eq 5004 any
> > access-list 101 permit udp any eq 5005 any
> > access-list 101 permit tcp any eq 6835 any
> > access-list 101 permit tcp any eq 6839 any
> > access-list 101 permit tcp any eq 6880 any
> > access-list 101 permit tcp any eq 7000 any
> > access-list 101 permit udp any eq 8086 any
> > access-list 101 permit udp any eq 8087 any
> > access-list 101 permit udp any eq 8443 any
> > access-list 101 permit udp any eq 8880 any
> > access-list 101 permit udp any eq 9081 any
> > access-list 101 permit udp any eq 9090 any
> > access-list 101 permit udp any eq 9091 any
> > access-list 101 permit udp any eq 9100 any
> > access-list 101 permit tcp any eq smtp any
> > access-list 101 permit tcp any eq pop3 any
> > access-list 101 permit tcp any eq 143 any
> > access-list 101 permit tcp any any eq www
> > access-list 101 permit tcp any any eq smtp
> > access-list 101 permit tcp any any eq pop3
> > access-list 101 permit tcp any any eq 443
> > access-list 101 permit tcp any any eq 143
> > access-list 101 permit udp host 212.54.64.170 eq domain any
> > access-list 101 permit udp host 212.54.64.171 eq domain any
> > access-list 101 deny ip any any
> >
> >
>
>

---

"Anders Vedelsbøl" <anders@sofiegaarden.dk> skrev

> Vores Cisco 827 er udstyrret med nedenstående access-list 101 og jeg kan
> ikke få FTP til at virke. Kan I hjælpe?

Måske, men ikke ud fra de oplysninger du giver. Hvad er det helt præcist,
der ikke virker?
Er det din klient, eller er det din egen server?
Hvilket program bruger du, hvilken FTP tilstand og hvilken fejlmeddelelse
får du?

Claus

---

Sætter stor pris på at I bruger lidt tid på mit problem.
Jeg er absolut novice, så bær over med mig.

Når jeg tilkobler en ftp-server ude på nettet (min hjemmeside) får jeg
følgende:

Der opstod en fejl ved åbning mappen på FTP-serveren. Sørg for, at du har
tilladelse til at åbne denne mappe.
Detaljer:
Der opstod timeout i handlingen

Hvis jeg ændrer sidste linie i min access liste (som er IN) fra:
access-list 101 deny ip any any
til:
access-list 101 permit ip any any
så virker det fint.

Jeg benytter IE og passiv ftp.

Håber det var de svar du efterlyste
mvh Anders

> Måske, men ikke ud fra de oplysninger du giver. Hvad er det helt præcist,
> der ikke virker?
> Er det din klient, eller er det din egen server?
> Hvilket program bruger du, hvilken FTP tilstand og hvilken fejlmeddelelse
> får du?
>
> Claus
>
>

---

On Sat, 30 Jul 2005 22:11:52 +0200, "Anders Vedelsbøl"
<anders@sofiegaarden.dk> wrote:

>access-list 101 permit tcp any eq ftp any
>access-list 101 permit tcp any eq ftp-data any

>Jeg benytter IE og passiv ftp.

Når du bruger passiv FTP kan du aldrig vide hvilken port serveren
vælger til data-forbindelsen.

Prøv at slå passive mode fra - i så fald skal serveren bruge port 20.
I hvert fald ifølge RFC'en - men jeg er ikke sikker på om det er en
regel der bliver overholdt nu om stunder.

Hvis du bruger NAT kan det muligvis give problemer, hvis du slår
passiv FTP fra.


/Jarlskov

---

Jeg bruger NAT og du har ret - det giver problemer. Hvad nu?
mvh Anders

>
> Prøv at slå passive mode fra - i så fald skal serveren bruge port 20.
> I hvert fald ifølge RFC'en - men jeg er ikke sikker på om det er en
> regel der bliver overholdt nu om stunder.
>
> Hvis du bruger NAT kan det muligvis give problemer, hvis du slår
> passiv FTP fra.
>
>
> /Jarlskov

---

On Fri, 29 Jul 2005 21:37:20 +0200, "Anders Vedelsbøl"
<anders@sofiegaarden.dk> wrote:

> Vores Cisco 827 er udstyrret med nedenstående access-list 101
> og jeg kan ikke få FTP til at virke. Kan I hjælpe?

Du mangler at lukke op for svaret (datasessionen) fra serveren. Det
laves ikke nemt (og sikkert) med en access-liste, så se i stedet på
firewall feature set (ip inspect).

-A

---

Er det for omfattende at forklare hvordan?
mvh Anders

>
> Du mangler at lukke op for svaret (datasessionen) fra serveren. Det
> laves ikke nemt (og sikkert) med en access-liste, så se i stedet på
> firewall feature set (ip inspect).
>
> -A

---

On Mon, 1 Aug 2005 19:31:17 +0200, "Anders Vedelsbøl"
<anders@sofiegaarden.dk> wrote:

>> Du mangler at lukke op for svaret (datasessionen) fra serveren. Det
>> laves ikke nemt (og sikkert) med en access-liste, så se i stedet på
>> firewall feature set (ip inspect).

> Er det for omfattende at forklare hvordan?

Læs http://tinyurl.com/dkkb2 og http://tinyurl.com/daq8j

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark wrote:

> On Mon, 1 Aug 2005 19:31:17 +0200, "Anders Vedelsbøl"
> <anders@sofiegaarden.dk> wrote:
>
>
>>>Du mangler at lukke op for svaret (datasessionen) fra serveren. Det
>>>laves ikke nemt (og sikkert) med en access-liste, så se i stedet på
>>>firewall feature set (ip inspect).
>
>
>>Er det for omfattende at forklare hvordan?
>
>
> Læs http://tinyurl.com/dkkb2 og http://tinyurl.com/daq8j
>
> -A

Hej Asbjorn

Den første link kræver kodeord?

mvh/Glenn

---

On 2005-08-02, Glenn Møller-Holst <glenn@x.dk> wrote:
>>
>> Læs http://tinyurl.com/dkkb2 og http://tinyurl.com/daq8j
>
> Den første link kræver kodeord?

Den fås også uden: http://shor.ter.dk/272735214

--
Andreas

---

Anders Vedelsbøl wrote:
> Vores Cisco 827 er udstyrret med nedenstående access-list 101 og jeg kan
> ikke få FTP til at virke. Kan I hjælpe?
> mvh
> Anders
>
...
> access-list 101 permit tcp any eq ftp any
> access-list 101 permit tcp any eq ftp-data any
...
> access-list 101 deny ip any any

Hej Anders

Det er en kombination af grunde til at ftp ikke kommer igennem.

1) FTP sucks - men den er populær.
2) FTP uden statefull inspection betyder at du skal åbne for alt over
tcp/ip-port 1023 - altså fra 1024-65535 både som src og dst.
3) NAT og aktiv ftp giver som regel sikkerhedsproblemer - hvis
netudstyret i det hele taget kan håndtere aktiv ftp. Derfor anbefales
passiv ftp alene.

FTP Attacks. By Kurt Seifried (seifried@securityportal.com) for
SecurityPortal:
http://www.developer.com/tech/article.php/774121
Citat: "...PASV Versus ACTIVE...To be plain, FTP sucks..."

FTP Reviewed. Chris Grant 1998-07-03:
http://pintday.org/whitepapers/ftp-review.shtml
Citat: "...Another potential problem is the very act of getting FTP
through a firewall. Regulating data transmissions with FTP can be very
tricky, particularly if the data is being actively transmitted..."

What is the difference between Active and Passive FTP?
http://www.scala.com/network-manager-3-faq/network-manager-3-faq-index.html


Firewall Configuration Prerequisites.
By Jay Beale, Lead Developer, Bastille Linux Project
(jay@bastille-linux.org), Principal Consultant JJB Security Consulting
and Training (C) 2000, Jay Beale /FONT>:
http://www.bastille-linux.org/jay/firewall-prereqs.html
Citat: "...
Well, there's a partial solution to this, in that you can force
everyone's clients to use "passive" mode FTP, which works like this:
...
So, this is more normal. The client is opening that second connection,
albeit to an arbitrary high (1024-65535) port on the server. *This is
better, though it now opens the server up to greater risk. See, now the
firewall on the server end has to allow all connections to high ports on
the FTP server machines*. Now, a knowledgeable admin can reduce this
port range, from 1024-65535, to something more manageable like
40,000-45,000, but this still leaves a wide port range that has to be
allowed in the server-side firewall. So, is there any hope?

Well, barring killing off FTP, there is. Stateful firewalls can watch
the data stream and understand the port negotiation. Unlike non-stateful
firewalls, which have to allow every potential port, stateful firewalls
can allow through packets destined for the specific additional data
port, at the specific "right time" in the connection.
..."

-

http://www.outpostfirewall.com/guide/rules/preset_rules/ftp.htm
Citat: "...
Protocol: TCP
Direction: Inbound
Local Port(s): 1024-65535
Action: Allow It

Protocol: TCP
Direction:Outbound
Remote Port(s): 1024-65535
Action: Allow It
...
But wait a minute! Doesn't this cause all kinds of problems
[Sikkerhedsproblemer!] for the server side firewall? [Dén foran
FTP-serveren]
Yes it does, but servers have away round this. Most FTP servers allow a
server administrator to specify a range of local ports [Det er en ussel
men halvgod løsning] the FTP server is allowed to open and use.
..."

mvh/Glenn