Allow Active FTP

In Cisco , Asa , door: Gerk van der Meer Gepubliceerd op


Active FTP sessies toestaan door de ASA firewall.

Eerder op de Cisco Pix firewall ook wel bekend als het FixUp ftp commando.
Maar deze FixUp commando's kent de ASA firewall niet meer.


In active mode FTP maakt een client verbinding vanaf een random poort (N > 1023) naar de FTP servers commando poort(21).
Vervolgens luisterd de client op poort N+1 en stuurt het FTP commando PORT N+1 naar de FTP server.
De server zal een verbinding opzetten vanaf zijn data poort(20) naar de door de client opgegegeven poort(n+1).
Hier onstaat dus het probleem. De firewall verwacht geen verbinding op een hogere poort en dropt het verkeer.

Door de ASA hier van op de hoogte te brengen dat er via een hogere poort een verbinding terug komt zal het FTP verkeer niet gedropt worden.

Geef in de Console Global configuration mode de volgende commando's :

class-map inspection_default
match default-inspection-traffic

policy-map global_policy
class inspection_default
inspect ftp

service-policy global_policy global

Hier kunnen nog meer commando's aan toegevoegd worden :

- Inspect dns
- Inspect h323 h225
- Inspect h323 ras
- Inspect netbios
- Inspect rsh
- Inspect rtsp
- Inspect skinny
- Inspect esmtp
- Inspect sqlnet
- Inspect sunrpc
- Inspect tftp
- Inspect sip
- Inspect xdmcp

RSS Twitter e-mail