FileZillaSrv – „Sicher Servern hinterm NAT“
Die private Dokumente-Sammlung: Jeder Nutzer mit einer (fast) permanent laufenden Internet-Verbindung hatte sicher schonmal das Problem, diese Sammlung an wichtigen Daten auch ausserhalb des Rechner verfügbar zu halten. Kein großes Problem, müsste man denken …
Problem 1: Die wechselnde IP
Viele Provider trennen die eigene Internetanbindung aller 24h für ein paar (Milli-)Sekunden und der eigene Router bekommt nach der Neueinwahl eine andere IP zugewiesen. Das ist kein größeres Problem, man besorgt sich einen – für die private Benutzung kostenlosen – „DynDNS“-Account. Anbieter wie DynDNS.com oder NO-IP.com werden häufig schon vom Router direkt unterstützt.
Problem 2: Der Fileserver
Da gibt es viele Optionen. Hier soll aber das alte FTP mit etwas Sicherheit, genauer mit explizitem TLS aufgefrischt und benutzt werden. Viele FTP-Clients beherrschen die sichere Version des FTP. Der präferierte Server unter gänigen Windows-Betriebsystemen ist der „FileZilla FTP Server“ aus dem FileZilla-Projekt.
Problem 3: FTP-Server hinter dem NAT verfürgbar machen
Den FTPd muss man auf TCP normalerweise an Port 21 lauschen lassen. Das ist in der Praxis aber etwas unglücklich, da hier etwas Security-by-obscurity™ angebracht ist. Daher vieschieben wir den Port lieber in einen nichtbenutzten Bereich. Hier im Beispiel auf Port 212:
In den General Settings ist unter Listen on these ports der Port 212 einzustellen. Der Rest der Einstellungen interessiert uns in diesem Beispiel nicht.
In den Einstellungen für den Passive Mode muss dann unter External Server IP der Hostname des verwendeten DynDNS-Dienstes eingetragen werden. Hier ist das your.dyndns.org. Die Ports 212 bis 220 sollten ebenfalls im Router freigegeben und hier unter Use custom port range eingetragen werden.
In den SSL/TLS sesstings generiert man sich ein eigenes Zertifikat mit dem dazugehörigen Knopf rechts unten. Danach hakt man sie die Optionen auf richtig sicher (alle an) und trägt noch zum Schluss (der aufmerksame Leser bemerkte, dass zwischen 212 und 214 ein Port fehlt) den Port 213 für direkte TLS-Verbindungen ein – fertig.
Wer mag, kann die Option Force explicit SSL/TLS deaktiviert lassen und dann pro Benutzeraccount diese Eigenschaft dazuschalten. Also pro Benutzer die Sicherheit an und ausschalten. Je nach Grad der Paranoia. 🙂
2 thoughts on “FileZillaSrv – „Sicher Servern hinterm NAT“”
Comments are closed.