freeX: Tips & Tricks

Die ausschließlichen Vertriebsrechte an diesem Artikel liegen beim Computer- & Literaturverlag (C&L). Der Artikel darf nicht kopiert oder gar erneut in einer Zeitschrift oder einem Buch veröffentlicht werden ohne vorherige Erlaubnis von C&L. Der Verlag gestattet freundlicherweise die Veröffentlichung auf diesen Seiten. Wer öfter auf diesen Hinweis trifft, sollte sich überlegen, die Zeitschrift freeX zu abonnieren.

FTP trotz Firewall

In vielen Institutionen sind Firewalls installiert, die keine Rücksicht auf die verwendeten Dienste nehmen. Durchgelassen werden IP-Pakete nur von bzw. für bestimmte freigeschaltete Ports. Vom internen Netzwerk ins Internet könnten Verbindungen zum Beispiel erlaubt sein. Von außerhalb werden dagegen Verbindungen abgeblockt, damit nicht mehr Dienste nach außen sichtbar sind als unbedingt nötig. So könnte eine einfache Firewall derart konfiguriert sein, daß vom Internet ins interne Netzwerk nur die Ports HTTP (Web) und SMTP (Mail) für bestimmte Server freigeschaltet sind.

Diese Konfiguration ist für die meisten Protokolle im Internet ausreichend. Wenn Sie z.B. per SSH auf einen externen Rechner zugreifen möchten, wird die Verbindung zum Server im internen Netzwerk initiiert und geht nach draußen. In dieser Richtung ist die Firewall freigeschaltet. Wenn Sie stattdessen versuchen, sich vom externen Server auf einem Rechner im internen Netzwerk einzuloggen, scheitert dieses, da die Firewall den Verbindungsaufbau nicht zuläßt.

Der Download von Dateien per FTP klappt mit diesem Setup jedoch oftmals nicht, obwohl man naiverweise denken würde, daß eine FTP-Verbindung genauso funktionieren sollte. Das Anzeigen von Verzeichnisssen funktioniert, nur der Download scheint Probleme zu bereiten.

Das Protokoll FTP ist anders aufgebaut als z.B. HTTP. Bei FTP werden eine Kontrollverbindung und eine Datenverbindung aufgebaut. Zudem bleibt die Verbindung nach dem Übertragen einer Datei offen, so daß weitere Dateien angefordert werden können. Die Kontrollverbindung zum Server wird vom FTP-Client aufgebaut und wird damit von der Firewall erlaubt.

Das Problem liegt in der zweiten Verbindung zur Übertragung der Daten. Diese wird nämlich normalerweise vom Server aufgebaut und schafft es damit nicht durch die Firewall. Dieses Verfahren wird "Active FTP" genannt. Die Datenverbindung müßte stattdessen ebenfalls vom Client aufgebaut werden, damit sie nicht von der Firewall blockiert wird.

Das ist auch möglich. Allerdings müssen die FTP-Programme meistens speziel angewiesen werden, damit sie die Datenverbindung zum Server aufbauen und nicht umgekehrt. Dieses Verfahren wird analog zu oben "Passive FTP" genannt. Im weit verbreiteten FTP-Client wird dazu der Befehl »passive« geschrieben, bevor eine Datei heruntergeladen wird.

Wenn das Kommandozeilen-Programm »wget« verwendet wird, um die Dateien herunterzuladen, dann wird der Parameter »--passive-ftp« zur Befehlszeile hinzugefüft.

Martin Schulze