web-dev-qa-db-ja.com

ファイアウォールでポートレンジを開く必要があるパッシブモードのFTP / SSL?

サーバーではFTP over SSLを使用し、データ接続には5ポートのポート範囲を使用する必要があります。ファイアウォールはクライアントとサーバーの間にあります。ファイアウォールで何を開く必要があるか(ポート、プロトコル、受信または送信)を知る必要があります。誰かこれを知っていますか?

3
Queensheep

はい、FTPSにはポートの使用に関して大きな問題があります。ファイアウォールとブラックハットのないネットワーク用に設計されたプロトコルであるFTPの暗号化を改良しました。

ただし、SFTPには 重大なパフォーマンスの問題 があり、ファイルが大きく、レイテンシが長い(または長距離)接続です。そのため、帯域幅の改善により、より大きなファイル転送が可能になるため、SSH/SFTPの制限がより重要になり、FTPSが他の唯一の代替手段となります。

3

Slacksiteには、FTPが アクティブモードとパッシブモード でどのように動作するかについての適切な説明があり、データ接続動作の決定的な情報は RFC 4217、§7 にあります。

基本的に、クライアントがパッシブモードと明示的なSSLを使用している(たとえば、暗黙のSSLでは990ではなく制御ポート21に接続する)と仮定すると、クライアントの高ポート範囲から制御ポート21と5つのデータポートへの着信接続を許可する必要があります。サーバー、およびそれぞれのポートからランダムなハイポートへの発信確立接続パケット。サーバーはクライアントへの接続をアクティブに開こうとするため、アクティブFTPは通常は良いアイデアではありません。それに応じて構成されていない場合、ほとんどのクライアント側のステートフルファイアウォールでは許可されません。

3
VolkA

通常、 explicit "active" FTPSはポート990で、制御ポートは989です。パッシブはアクティブと同じですが、989に加えて、1024以上の範囲でいくつかのポートを使用します。サーバーの構成方法に応じて、サーバー(クライアントがデータ接続を開始するため)。

個人的には、私はNULL FTPサーバーを使用し、ポート22で implicit SFTPを実行し、単一のポートを実装することを好みます。

1
djangofan

Wireshark http://www.wireshark.org/ とファイアウォールの外側のホストを使用して、この特定のFTP + SSL構成で使用されているポートを確認します。

表示されるトラフィックに基づいて、FTPサーバーのIPアドレスからのその種のトラフィックを許可するファイアウォールルールを作成します。

0
pcapademic