FTP, SSL, Firewall, NAT

[Kent]

Hallo *ALL,

ich habe folgendes Problem:
ich möchte einen FTP-Server in der weiten Welt von meiner iSeries aus erreichen. Die Verbindung soll mit SSL gesichert werden. Dazwischen hängt bei mir in der Firma noch eine Firewall und NAT.
Die Verbindung kann ich aufbauen, ich kann mich erfolgreich anmelden. Aber bei ls, dir und ähnlichem bekomme ich einen Timeout.
Wo liegt der Fehler?
Gibt es FTP-Clients für iSeries von Drittanbietern, am besten Freeware?

Gruß, Kent

[Fuerchau]

Da gabs mal was mit einer DTAARA für aktives/passives FTP, gerade wegen Firewall's.
Vielleicht erinnert sich ja jemand daran.

[kuempi von stein]

Da gabs mal was mit einer DTAARA für aktives/passives FTP, gerade wegen Firewall's.
Vielleicht erinnert sich ja jemand daran.

Japp, das Gedächtnis trügt nicht.
Siehe http://www.rlpforen.de/showthread.ph...t=firewall+ftp.

PHP-Code:

CRTDTAARA DTAARA(QUSRSYS/QTMFTPPASV) TYPE(*LGL) AUT(*USE)

AS/400 FTP client wird dann in active mode gesetzt.

wenn man data area löscht, dann wird der FTP client wieder per default zum passive mode gesetzt. 


Nur sehe ich da gerade nicht den Zusammenhang zwischen active/passive und TimeOut?

k.

[Kent]

Wenn ich die Informationen aus dem Bereich Netzwerk richtig verstanden habe, muss FTP wegen der Firewall im passiven Modus durchgeführt werden. In diesem Fall (wohl wegen NAT) sogar im Extended Passive Mode (EPSV). EPSV beherrscht der iSeries-FTP-Client nicht.
Also ruhen meine Hoffnungen auf einem Drittanbieter-FTP-Client. Allerdings habe ich noch keinen gefunden.

[Fuerchau]

Das Problem liegt in den Firewalls, dass diese meist nur ausgehende Verbindungen zulassen.
Bei einer der beiden Varianten (ich weiß nie welche), wird eine Verbindung von draussen nach drinnen aufgenommen, was die Firewall eben ablehnt und somit kommt es zum Timeout.

[Fuerchau]

Für die AS/400 wirst du auch keinen finden.
Ggf. gibt es einen BATCH-FTP für Java. Ein Dialog-FTP für Java kann nicht verwendet werden, da diese nur auf grafischer Oberfläche (Swing o.ä.) laufen.

[nellie]

Falls es daran liegt, daß die Firewall keine Verbindungen von aussen zulässt könnte man einstellen, daß bei FTP von der AS "related connections" zugelassen werden d.h. nur von innen aufgebaute Verbindungen können Antworten erhalten. Geht natürlich nur, wenn man das auf der FW einstellen kann. lg Nellie

[Kent]

Ich bin nicht der große Netzwerkspezi, aber meiner Meinung nach ist nicht die Firewall allein das Problem, sondern in Verbindung mit NAT und Verschlüsselung.

[Fuerchau]

NAT ist da nicht das Problem, wenn die Verbindung von der AS/400 aufgemacht wird. Dann sind die Routen ja bekannt.

Ich mach von meinem PC über einen Router mit NAT ja auch FTP und das klappt.

[mariupol1963]

Hier:

http://www.indyproject.org/KB/index....lbehindnat.htm

[holgerscherer]

NAT ist da nicht das Problem, wenn die Verbindung von der AS/400 aufgemacht wird. Dann sind die Routen ja bekannt.

Ich mach von meinem PC über einen Router mit NAT ja auch FTP und das klappt.

Du glaubst garnicht, was eine gute Firewall alles kann ;-) Beispielsweise kann man einstellen, dass die Kombination ausgehende IP/Port/Ziel für eine FTP-Verbindung explizit gespeichert wird und dann automatisch eine eingehende Verbindung erlaubt wird, wenn Quelle=Ziel, Ziel=QuellIP und Port im Protokoll erwähnt wurde. Die meisten Probleme rühren oft daher, dass NAT meist recht stupide implementiert wird und nur eine Rückverbindung auf den Quellport zulassen, was bei FTP (meines Erachtens eines der beklopptesten Protokolle auf diesem Planeten) ja nicht immer der Fall ist.

-h

[Fuerchau]

Kommt immer auf den Router an.
Ich habe einen Belkin-Router mit NAT + AlphaShield-Firewall (nicht konfigurierbare Hardware).
Bei beiden brauchte ich nichts einzustellen und FTP mit/ohne SSL, aktiv/passiv rauf und runter klappt einwandfrei.

Die XP-Firewall war da schon schwieriger.