English | Russian

STARTSEITE  |   PRODUKTE  |   LÖSUNGEN  |   DOWNLOADS  |   SHOP  |   UNTERSTÜTZUNG  |   KORPORATION
 

 / TFTP und die Internetzbildschirme

TFTP und die Internetzbildschirme

Der Gebrauch des Protokolles TFTP ruft in den Netzen des öfteren Schwierigkeien hervor, die mit den Internetzbildschirmen oder den Mitteln NäT ausgestattet sind. Es ist damit verbunden, dass das TFTP-Protokoll zuę Übergabet das UDP benutzt, als auch mit der Art und Weise der verwendeten.Organisation der Übergabe der Dateien

Das TFTP-Protokoll wird als einfaches Mittel der Übergabe der Dateien dort verwendet, wo die Rechenleistung der Kunden beschränkt ist und die Mittel der Autorisation des Zugriffes nicht obligatorisch sind. Der Einsatz von UDP als Protokoll zur Vermittlungsschicht ermöglicht, die Forderungen an die Leistung des Prozessores und den erforderlichen Umfang des Arbeitsspeichers bedeutend herabzusetzen. Aber das UDP ist kein Protokoll mit der Herstellung der Verbindungen. Das heisst, dass die Emulation der Verbindungen dem Protokoll der Vermittlungsschicht der Anlage, d.h. unmittelbar dem TFTP-Protokoll auferlegt wird. Die meisten Internetzbildschirme unterstützen die Identifizierung der Verbindungen im TFTP-Protokoll nicht, deshalb sind diese Strukturen auxch nicht imstande, eine korrekte Datenübergabe zu ermöglichen.

Die Einstellungen, die für die Arbeit vom TFTP im geschützten Netz notwendig sind, hängen von der Anordnung der Kunden und des TFTP-Servers im Bezug auf die Firewall ab. Im einfachsten Fall befindet sich der TFTP-Server im geschützten Netz, und die Kunden - vor der Firewall. Bei der korrekten Abstimmung der Firewall entstehen dabei keine Probleme. Für die korrekte Arbeit des TFTP-Servers muß man an in diesem Netz der Firewall folgende Abstimmungen durchführen:

  • die Ergänzung der Regel zur statischen Übergabe des TFTP (der Port 69 UDP) von einer der Aussen-IP-Adressen des Netzes an die Adresse des TFTP-Servers im internen Netz.
  • die Erlaubnis zur Übergabe des TFTP aus dem öffentlichen Netz auf die Aussen-IP-Adresse geben, auf die die Regel der Übergabe eingestimmt wurde.
  • die vollständige Übergabe des UDP vom Server TFTP in das Aussennetzzu erlauben. Die Abstimmung als Voreinstellung für viele Typen der Aufbauen begrenzen die Übergabe aus dem stärker geschützten Netz in das weniger geschützte nicht. Sollen in Ihrer Struktur irgendwelche Beschränkungen doch vorhanden sein, stellen Sie die eindeutige Regel zur Übergabe von TFTP in das äussere Netz ein.

    Zum Beispiel:

    Es ist notwendig, das System Cisco PIX auf die Publikation des TFTP-Servers abzustimmen, der sich in DMZ des Betreibsnetzes befindet. Der TFTP-Server soll für den Zugriff aus dem öffentlichen Netz zugänglich sein. Die Adresse TFTP-Servers in DMZ - 10.0.0.2. Die öffentliche Adresse des Netzes des Betriebs - 62.76.23.14. Für die Publikation des TFTP-Servers sind folgende Befehle an der Firewall zu erfüllen:

    static (inside, outside) udp 62.76.23.14 tftp 10.0.0.2 tftp netmask 255.255.255.255 0 0
    conduit permit udp host 62.76.23.14 eq tftp any
    

    Der erste Befehl fügt die Regel hinzu, laut der die TFTP-Übergabe von der Adresse 62.76.23.14.an die Adresse 10.0.0.2 erfolgt. Der zweite Befehl ermöglicht die TFTP-Übergabe an die äussere Adresse des Netzes. Die Übergabe aus dem inneren Netz an das äussere ist als Voreinstellung erlaubt.

    Die Situation wird komplizierter, wenn man den Zugriff der Kunden aus dem geschützten Netz zum äusseren TFTP-Server gewährleisten muß. Bei der Anforderung der Datei übersendet der Kunde vom zufällig gewählen UDP- Port an den Port UDP 69 des TFTP-Server das Paket TFTP RRQ. Da das Paket aus dem besser geschützten Netz in das weniger geschützte abgeschickt wird, wird er von der Firewall seinem TFTP-Server übersendet. Bei der Übersendung des Paketes fügt die Firewall in die Tabelle der Translation die Aufzeichnung ein, die laut dem Protokoll UDP der Verbindung zwischen dem gewählten Port des Kunden und dem Port 69 des TFTP-Servers entspricht. Laut RFC 1350 schickt der Server dem Kunden vom zufällig gewählten Port das Paket TFTP DATA. Aber die Firewall übersendet dieses Paket zurück, weil sie in der Translationstabelle die existierende Verbindung zwischen dem gewählten Port des Servers und dem Port des Kunden nicht finden kann.

    Die Einrichtungen, die dem Cisco PIX ähnlich sind, können die laufenden TFTP- Übergaben durchsehen und in die Translationtabelle die Aufzeichnungen einfügen, die den Durchgang der TFTP- Antworten aus dem äusseren Netz in das des Betriebs zulassen. Für die Einschaltung dieses Regimes an der Firewall Cisco PIX dient der Befehl fixup protocol tftp.

    Die andere Lösung des Problemes ist, den TFTP- Server zu zwingen, den Port 69 nicht nur für die Aufnahme der Anfragen, sondern auch für die Versand der Antworten an die Kunden zu benutzen. In diesem Fall wird die Firewall korrekt die Antworten dem Kunden entsprechend der in die Translationstabelle aufgenommenen Aufzeichnung übersenden. Sie können dieses Regime der Arbeit am WinAgents TFTP-Server starten, indem Sie im Fenster die Option ‘ Enable firewall support ’ einschalten.


  • STARTSEITE  |   PRODUKTE  |   LÖSUNGEN  |   DOWNLOADS  |   SHOP  |   UNTERSTÜTZUNG  |   KORPORATION
    Copyright © 1999-2017 Tandem Systems, Ltd. All rigts reserved.