locked
FTP Zugriffsregel funktioniert nicht im Browser RRS feed

  • Frage

  • Hallo zusammen,

    ich habe ein TMG 2010 SP2 RU1 auf einem W2K8R2 SP1 laufen. Das TMG hat ein Bein im internen Netz und eins in die DMZ nach extern.
    Ziel ist es, auf FTP Seiten per Browser zu kommen. Wie Zum Beispiel ftp://ftp.adobe.com
    Wie im Handbuch "TMG2010 Das Handbuch" ab Seite 405 ff. beschrieben, habe ich eine Regel unter Firewallrichtlinie erstellt, die wei folgt aussieht:
    Reihenfolge: 5
    Name: FTP
    Aktion: Zulassen
    Protokolle: FTP, FTP over HTTP
    Von / Listener: Internal
    Nach: External
    Bedingung: All Authenticatet Users

    Lasse ich die Protokolierung mitlaufen, kommt als erster Punktfolgendes:
    Client IP: mein PC
    Ziel IP: TMG
    Zielport: 8080
    Protokoll: ftp over http
    Aktion: verweigerte Verbindung

    als angewendete Regel steht die default Rule drin.

    Was mache ich falsch?
    Muss ich da den TMG Client für installiert haben?



    • Bearbeitet Phantomias Dienstag, 8. Mai 2012 13:29
    • Bearbeitet Alex Pitulice Donnerstag, 10. Mai 2012 09:26 Titel Korrektur
    Dienstag, 8. Mai 2012 13:10

Antworten

  • Ich habe mein Problem jetzt endlich lösen können.

    Ursachen gab es leider einige.

    Einmal hatte ich, wie schon geschrieben, die Regel mit einer deutschen MGMT Konsole auf einem englischen Server erstellt. Die Regel wurde misachtet und da FTP nirgends zugelassen war, griff die Default Rule, welche den Verkehr geblockt hatte.
    Zum zweiten wurden die Secondary Ports nicht geöffnet. Somit bekam ich immer einen Time Out. Vermutlich lag es ebenfalls daran, das ich mit einer deutschen Konsole auf einem englischen Server konfigurierte. 

    Jetzt funktioniert die regel so wie soll.

    • Als Antwort markiert Phantomias Dienstag, 19. Juni 2012 09:43
    Dienstag, 19. Juni 2012 09:43

Alle Antworten

  • Eine Verbindung über Filezilla im Passive Mode klappt.
    Dienstag, 8. Mai 2012 13:13
  • Hi,

    fuer eine reine FTP Verbindung musst der Client den TMG Client installiert haben. Fuer eine FTP ueber HTTP Verbindung (im Webbrowser) muss der Client Webproxy Client sein, so lange Du in den Firewallregeln mit Benutzerauthentifizierung arbeitest (statt "alle Benutzer):
    http://technet.microsoft.com/en-us/library/bb794762.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 8. Mai 2012 13:42
  • Der Client Webrowser, IE9 seines Zeichen, hat den TMG als Proxy für alle Protokolle eingetragen.
    Leider ohne Funktion.
    Ich werde morgen nochmal schauen, wenn ich morgen wieder auf Arbeit bin.
    Dienstag, 8. Mai 2012 15:22
  • Hab das ganze jetzt nochmal geprüft. Jedoch funktioniert das noch immer nicht über den Browser. :-/

    Freitag, 11. Mai 2012 07:39
  • Hi,

    ueber den Browser geht auch nur FTP Download mit vielen Einschraenkungen!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Freitag, 11. Mai 2012 08:02
  • Hallo Marc,

    leider funktioniert über den Browser FTP mäßig gar nix. :(
    Ichhabe mir auch mal den TMG Client installiert. Auch hier eher eine negative Rückmeldung. Mit TMG Client gehts überhaupt nicht mehr. Auch ohne Proxy

    Montag, 14. Mai 2012 05:16
  • Hallo zusammen,
    ich habe jetzt mal noch etwas weiter geschaut um dem Problem auf die Spur zu kommen. Scheinbar liegt es hier an der konfiguration des passiven FTP.
    Gemäß KB Artikel 300641 habe ich die Einträge in der Registry vorgenommen.
    Gemäß der Liveprotokolierung kann ich sehen, das FTP over HTTP zugelassen wird und eine Anforderung auf die zu downloadende Datei pr GET gestellt wird.
    Vermutlich haben ich hier das Problem, das die zufällig benutzen Ports nicht entsprechend aufgemaht und abgehört werden.
    Der Haken für aktives FTP zulassen ist im Anwendungsfilter gesetzt. Der FTP Zugriff wird in der Firewallrichtlinie vom internal Netzwerk nach External für FTP und FTP over HTTP für Alle Benutzer zugelassen. In der Regel Konfiguraion ist "Nur Lesen" deaktiviert.

    So langsam gehen mir die Lösungsansätze aus dem Internet und Ideen aus.

    Montag, 21. Mai 2012 08:22
  • Hallo Alex,

    das Problem bsteht immer noch. Ich habe dafür bisher keine Lösung gefunden.
    FTP over HTTP wird immernoch geblockt. Reines FTP über einen FTP Client funktioniert.

    Dienstag, 12. Juni 2012 06:30
  • Hallo nochmal zusammen,

    in der Hoffnung, das noch jemand diesen Beitrag liest, bin ich jetzt schon etwas weiter gekommen.
    Im Live Log wird mir jetzt das FTP over HTTP zugelassen. Jedoch bekomme ich immer noch nicht die Seite im Browser angezeigt.
    Entweder bekomme ich die Meldung: 200 Switching to ASCII, 500 Illegal Port Command oder statt der 500 den 421 Time out.

    FTP Regeln sind gemäß der Anleitung von Marc Grote eingerichtet.
    Das die alten Regeln nciht funktionierten lag vermutlich daran, das ich mit einer deutschen Management Konsole auf einen englischen TMG verbunden war und darüber EInstellungen getätigt habe.

    Hat jemand noch ine Idee?

    Montag, 18. Juni 2012 12:58
  • Ich habe mein Problem jetzt endlich lösen können.

    Ursachen gab es leider einige.

    Einmal hatte ich, wie schon geschrieben, die Regel mit einer deutschen MGMT Konsole auf einem englischen Server erstellt. Die Regel wurde misachtet und da FTP nirgends zugelassen war, griff die Default Rule, welche den Verkehr geblockt hatte.
    Zum zweiten wurden die Secondary Ports nicht geöffnet. Somit bekam ich immer einen Time Out. Vermutlich lag es ebenfalls daran, das ich mit einer deutschen Konsole auf einem englischen Server konfigurierte. 

    Jetzt funktioniert die regel so wie soll.

    • Als Antwort markiert Phantomias Dienstag, 19. Juni 2012 09:43
    Dienstag, 19. Juni 2012 09:43