web-dev-qa-db-ja.com

Cisco ASAファイアウォールの背後にあるパッシブFTPの問題

パッシブモードを使用してCisco ASAファイアウォールの背後にあるFTPサーバーに接続する際に問題が発生しました。 ftpはアクティブおよび「拡張パッシブ」モードを使用して動作します。ただし、「拡張パッシブ」(ftpコンソールクライアントアプリのepsv)をオフにすると、動作しなくなります。すべてのコマンドはタイムアウトになります。ただし、使用するアプリケーションによっては、「拡張パッシブ」以外のモードが必要です。

何か案は?

ありがとう、ハラルド

更新/解決策

結局のところ、それはまさにASAのせいではなかったのですか、それともそうでしたか? proftpdの設定でマスカレードを無効にする必要がありました。 proftpd-configのmasquerading-addressをftp-serverドメインのIPアドレスに設定していたため、asaを介してトラフィックを渡すときに予期しない結果が発生しました。現在-アドレスマスカレードなし-すべてが非常にうまく機能しています。

firewallciscoftpcisco-asa
4
harald

古代のトピックですが、最近同様の問題に遭遇し、私の$ .02が誰かを助けるかもしれないと考えました。

私の場合、IIS 7.5は、ASAの少し古いバージョンの背後で実行されています。これは、置き換えの最中です。既存のFTPサイトがあり、私の計画は単に証明書を使用したFTPSサポート、およびおそらくネットワーク管理者にいくつかのポートを開かせる。IISには、「外部IPアドレスのファイアウォール」という名前の各FTPサイトに対して同様のマスカレード設定があります。 、誤解を招く。

TL/DRバージョン:FTPサーバーでマスカレードIPとPASV接続に使用されるポートの範囲を指定できる場合、それらのポートを開いてftp検査を無効にすることでこれを修正できるはずです(SHOULD)。 。

他のいくつかの制約のため、ASAで検査を無効にすることができなかったため、いくつかの妥協が必要でした。これが私が観察/学んだことです:

  • ASAは、暗号化されていないトラフィックのみを検査できます。あれ?
  • ASAのデフォルトの動作では、FTPを含む多数のプロトコルが検査されます。
  • クライアントはサーバーポート21で認証し、サーバーがサポートする機能セットを決定します。
  • クライアントは、そのように構成されている場合、PASV要求をサーバーに送信します
  • サーバーは「227パッシブモード(a、b、c、d、e、f)に移行します」で応答します。ここで、a.b.c.dはサーバーアドレス、e * 256 + f =ポート番号です。
  • マスカレードアドレスが構成されていない限り、a.b.c.dアドレスは内部IPになります
  • fTPインスペクションはa.b.c.dアドレスを外部IPに書き換え、このクライアント用に指定されたポートを開きます。
  • A.b.c.dアドレスIS外部アドレスの場合、応答パケットは破棄されます。*これは、厳密なオプションが原因である可能性があり、確認できませんでした。
  • CuteFTPは、PASV応答でルーティング不可能なIPを認識し、代わりにサーバーの外部アドレスを使用しようとします。
  • aSAはSSL暗号化FTPSトラフィックを読み取ることができないため、検査をバイパスして機能します。

したがって、私たちの場合、マスカレードIPを設定すると、FTPS経由で問題なく接続できましたが、通常のFTPは失敗しました。マスカレードIPを削除した後も、CuteFTPを使用してFTPとFTPSの両方に接続できましたが、プライマリクライアントはFTPSに接続できませんでした。 (それらのシステムは、ルーティング不可能なIPを変換するのに十分な「スマート」ではなかった...)

したがって、私の不十分な回避策は2つの別々のサイトを使用することでした。1つはマスカレードIPを使用し、SSLを必要とし、もう1つは使用しなかったサイトです。

TMI、しかし多分それは誰かがこれを処理するのに役立ちます。

2
xyvyx

ポート21だけでなく、Pasvポートを許可するルールを作成する必要がある場合があります。FTPプログラムでは通常、顧客のPasvポート範囲を指定できる構成設定があります。 45200から45500などの高い範囲のポートを指定します。次に、ASAでこれらのポートをFTPサーバーのIPに許可します。

1
user10711

「fixup」コマンドを使用して、FTPのアプリケーションレベルのフィルタリングを有効にする必要があります。

# fixup protocol ftp 21

ASAにも適用されるPIXに関するこの記事があります。

http://www.ciscopress.com/articles/article.asp?p=24685

1
sucuri

こんにちは次のことを試してください:

ftpモードパッシブ

policy-map global_policy

class inspection_default

ftpを検査

最初のコマンドが何をするのか正確にはわかりませんが、いくつかの実行中の構成で見ました。試してみてください

しかし、FTPインスペクションを使用してポリシーマップを作成する必要があると確信しています。それは彼らが以前にpixでfixup protocolと呼んだものです。これにより、野党が話したいポートを選択したときに、asaがセッションを開くことができます。

0
sam

コマンド「ftpモードパッシブ」は、asa(ルーター自体)がそれ自体との間で構成を送信または受信するためのものだと思います。セッションを渡すためではありません。私が見つけたものだけ...

0
Thirsty

代わりに暗黙のSFTPを使用するように切り替えれば、開く必要のある単一のポートについて心配するだけで済みます。

0
djangofan

ASAには、PIXのようにfixupコマンドがありません。

サービスポリシールールを介してFTPトラフィックのデフォルトの検査を使用していますか?

0
GregD