Windows-Firewall für FTP konfigurieren

Nutzt man den FTP-Server der Internet Information Services (IIS), dann richtet dort bereits das Setup eine solche Regel ein. Sollte sie nicht existieren, dann kann man sie auf der Kommandozeile relativ einfach mit

netsh advfirewall firewall add rule action=allow protocol=TCP dir=in localport=21

erstellen.

Der Control Channel dient jedoch nur der Übertragung von FTP-Befehlen. Man kann sich über diesen Kanal zwar am FTP-Server anmelden, aber den Inhalt von Verzeichnissen nicht sehen und keine Dateien übertragen. Diesem Zweck dient der Data Channel, für den eine separate Verbindung hergestellt werden muss.

Variable Ports für den Data Channel

Im Gegensatz zum Control Channel, der normalerweise den Well Known Port 21 verwendet, läuft der Dateitransfer über Ports, die der Client und der Server über den Control Channel aushandeln. Für diesen Zweck gibt es zwei Verfahren, active und passive.

Die unkompliziertere Variante ist das passive FTP, weil dort alle Verbindungen vom Client initiiert werden. Nach der Etablierung des Control Channel erhält der Client vom Server den Port mitgeteilt, zu dem er sich verbinden soll. Für den Datenkanal werden dann auf beiden Seiten beliebige Ports oberhalb von 1023 verwendet.

Zahl der Ports im FTP-Server eingrenzen

Für die Konfiguration der Firewall würde das bedeuten, dass man auf dem Server in einem sehr großen Bereich alle Ports für eingehende Anfragen öffnen müsste.

Der FTP-Server der IIS bietet aber die Möglichkeit, dieses Spektrum einzuengen so dass eine geringere Zahl an Ports für den Data Channel in Frage kommt. Diese Einstellung findet sich auf der Startseite des FTP-Servers unter FTP-Firewallunterstützung.

Nun könnte man eine Regel erstellen, die Ausnahmen für alle vom FTP-Server beanspruchten Ports definiert. Die Windows-Firewall sieht für diesen Zweck aber ein alternatives Verfahren vor, weil sie für FTP einen Application Filter namens StatefulFTP enthält.

Da es sich bei FTP um ein Klartextprotokoll handelt, kann die Firewall anhand der übertragenen Kommandos relativ einfach erkennen, welcher Port für den Data Channel benutzt werden soll und diesen gezielt öffnen.

StatefulFTP konfigurieren

Um zu überprüfen, ob der Application Filter aktiviert ist, gibt man

netsh advfirewall show global statefulFTP

ein. Im deutschen Windows soll man sich nicht von der schlechten Übersetzung täuschen lassen: Das Ergebnis Deaktivieren bedeutet inaktiv, StatefulFTP ist also ausgeschaltet.

Umgekehrt steht Aktivieren für eingeschaltet. Sollte es notwendig sein, den Application Filter für FTP erst zu aktivieren, dann tut dies der Befehl

netsh advfirewall set global StatefulFtp enable

Generell wird empfohlen, passives FTP zu verwenden, speziell hinter einem NAT-Router. Setzt man dennoch Active FTP ein, etwa weil ein Client wie der Windows-eigene ftp.exe nur diese Variante beherrscht, dann muss man zusätzliche Maßnahmen ergreifen.

Zusätzliche Ausnahmen für Active FTP

Diese sind notwendig, weil der Client nach dem anfänglichen Verbindungsaufbau über Port 21 dem Server mitteilt, auf welchem lokalen Port er den Data Channel etablieren möchte. Daraufhin initiiert der Server die Kommunikation von seinem lokalen Port 20 mit dem vom Client vorgeschlagenen Port.

Aufgrund dieses Ablaufs muss man dafür sorgen, dass die Firewall am Server eine ausgehende TCP-Verbindung auf Port 20 zulässt. Im Fall der IIS wird auch diese Regel bei der Installation erstellt, aber nicht aktiviert.

Auf dem Client muss man dafür sorgen, dass die vom Server initiierte Kommunikation nicht von der Firewall geblockt wird.

Gibt es keine entsprechende Ausnahme, dann wird dem Benutzer ein Dialog angezeigt, mit dessen Bestätigung er Regeln für den betreffenden Client erzeugt. Sie gelten allerdings für sämtliche lokale und entfernte Ports und decken neben TCP auch UDP ab.

Da FTP nur TCP verwendet, kann man die UDP-Regel löschen und bei Bedarf jene für TCP auf lokale Ports > 1023 und den Remote-Port 20 eingrenzen.