Sisältö:

  • Käyttöönotto
  • Perusteet
  • Aktiivinen FTP
  • Aktiivinen FTP-Esimerkki
  • Passiivinen FTP
  • Passiivinen FTP-Esimerkki
  • Muut Muistiinpanot
  • Yhteenveto
  • Liite 1: Configuration Yleisiä FTP-Palvelimia
  • Liite 2: Firewall Configuration Guide

Johdanto

Yksi yleisimmin nähty kysymyksiä käsiteltäessä palomuurien ja muiden Internet-yhteysongelmat on ero betweenactive ja passiivinen FTP ja miten parhaiten tukea jompikumpi tai molemmat niistä., Toivottavasti seuraava teksti auttaa selventää muutamia theconfusion siitä, miten tuki FTP palomuurin ympäristössä.

Tämä ei voi olla lopullinen selitys, kuten otsikko väittää kuitenkin, olen kuullut tarpeeksi hyvää palautetta ja nähnyt tämän asiakirjan linkitetty tarpeeksi paikkoja, tietää että varsin harvat ihmiset ovat löytäneet sen olevan hyödyllinen. Etsin kuitenkin aina keinoja parantaa asioita, ja jos löydät jotain, mikä ei ole aivan selvää tai kaipaa lisää selitystä, kerro minulle!, Viimeaikaiset lisäykset tähän asiakirjaan sisältävät esimerkkejä sekä aktiivisista että passiivisista komentorivin FTP-istunnoista. Näiden istuntoesimerkkien pitäisi helpottaa asioiden selkeyttämistä. Ne tarjoavat myös mukavan kuvan siitä, mitä tapahtuu kulissien takana FTP-istunnon aikana. Seuraavaksi tiedot…

perusasiat

FTP on yksinomaan TCP-pohjainen palvelu. UDP-komponenttia toFTP ei ole. FTP on erikoinen palvelu, että se käyttää kahta porttia, ’data’ – portti ja ’komento’ – portti (tunnetaan myös nimellä valvonta-portti)., Vanhoillislestadiolaisia ovat komentosataman satama 21 ja dataportin satama 20. Sekaannus alkaa kuitenkin, kun huomaamme, että Dataportti ei ole aina portissa 20.

Aktiivinen FTP

aktiivisessa tilassa FTP-asiakas muodostaa yhteyden satunnainen unprivilegedport (N > 1023) FTP-palvelimen command port 21. Sitten theclient alkaa kuunnella porttia n+1 ja lähettää FTP-komennon PORTN+1 FTP-palvelimelle., Tämän jälkeen palvelin muodostaa yhteyden takaisin theclientin määritettyyn dataporttiin paikallisesta dataportista, joka on portti 20.,21-portit > 1023 (Palvelin vastaa toclient on hallita portti)

  • FTP-palvelimen portti 20-portit > 1023 (Palvelin aloittaa tietoliikenneyhteyden asiakkaan data-portti)
  • FTP-palvelimen portti 20 satamista > 1023 (Asiakas lähettää Pannukakkuja toserver on data-portti)

    • Kun laadittu, yhteys näkyy seuraavasti:

    vaihe 1, asiakkaan command port yhteystiedot palvelimen komento portand lähettää komentoPORT 1027., Tämän jälkeen palvelin lähettää anackin takaisin asiakkaan komentoportille vaiheessa 2. Vaiheessa 3 serveriniti liittää paikallisen dataportin dataportin aiemmin määritettyyn dataporttiin. Lopuksi asiakas lähettää ACK: n takaisin step4: n osoittamalla tavalla.

    active mode FTP: n suurin ongelma todella osuu asiakaskuntaan. FTP-asiakas ei tee todellinen yhteys tiedot portof palvelin-se yksinkertaisesti kertoo palvelimen mikä portti se kuuntelee ja palvelin yhdistää takaisin määritettyyn porttiin asiakas., Tämä näyttää olevan ulkopuolinen järjestelmä, joka käynnistää yhteyden sisäiseen asiakkaaseen-mikä on yleensä estetty.

    Active FTP Example

    alla on todellinen esimerkki aktiivisesta FTP-istunnosta. Ainoat asiat, jotka on muutettu ovat palvelimen nimet, IP-osoitteet ja käyttäjätunnukset. Tässä esimerkissä FTP-istunto on aloitettu päässä testbox1.slacksite.com (192.168.150.80), linux laatikko käynnissä standardin FTP komentoriviltä asiakas, testbox2.slacksite.com (192.168.150.90), linux laatikko käynnissä ProFTPd 1.2.2RC2., Vianetsintälippua (-d) käytetään FTP-asiakkaan kanssa osoittamaan, mitä kulissien takana tapahtuu. Kaikki punaisella on vianetsintätulos, joka näyttää palvelimelle lähetettävät FTP-komennot ja niistä saadut vastaukset. Normaali palvelimen ulostulo näkyy mustana, ja käyttäjän tulo on lihavoitu.

    tässä dialogissa on muutamia kiinnostavia asioita mietittävänä. Huomaa, että kun PORT komento on annettu, se määrittelee portin asiakkaan (192.168.150.80) – järjestelmä, pikemminkin kuin palvelin., Näemme päinvastaista käytöstä, kun käytämme passiivista FTP: tä. Vaikka olemme aiheesta, nopea huomautus muotoa PORT komento. Kuten näet alla olevasta esimerkistä, se on muotoiltu kuuden numeron sarjaksi pilkuilla erotettuna. Neljä ensimmäistä oktettia ovat IP-osoite, kun taas kaksi viimeistä oktettia muodostavat datayhteyden yhteydessä käytettävän portin. Löytää todellinen portti moninkertaistaa viidennen oktetin 256 ja sitten lisätä kuudennen oktetin yhteensä. Näin alla olevassa esimerkissä sataman Numero on ( (14*256) + 178), tai 3762., Pikatarkastuksen netstat pitäisi vahvistaa nämä tiedot.

    Passiivinen FTP

    jotta voit ratkaista ongelman, palvelin, käynnistämällä yhteyden tothe asiakkaan eri menetelmällä FTP-yhteyksiä on kehitetty. Tämä wasknown kuin passiivinen-tilassa tai PASV komennon jälkeen käyttää nopeasti atropiinia sisältävistä pillereistä kertoa palvelimelle, että se on passiivisessa tilassa.

    passiivisessa FTP-tilassa asiakas käynnistää molemmat yhteydet palvelimelle,ratkaisemalla ongelman palomuurien suodattamalla saapuvan dataportconnection asiakkaalle palvelimelta., Avatessaan FTP-yhteyttä asiakas avaa paikallisesti kaksi satunnaista epäyhtenäistä porttia (n > 1023 andN+1). Ensimmäinen portti ottaa yhteyttä palvelimen porttiin 21, mutta sen sijaan thenissuing PORT komento ja antamalla palvelimen connectback sen data-portti, asiakas antaa PASVkomento. Tuloksena on, että palvelin avaa randomunprivileged port (P > 1023) ja lähettää P takaisin asiakkaalle vastauksena PASV komento., Asiakas muodostaa yhteyden päässä portN+1 port P-palvelin siirtää tietoja.,asiakkaan’scontrol portti)

  • FTP-palvelimen portit > 1023 mistä tahansa (työasema muodostaa tietoliikenneyhteyden palvelimen sattumanvaraisesti määrittämään porttiin)
  • FTP-palvelimen portit > 1023 kauko-portit > 1023 (Server sendsACKs (ja data) – asiakkaan tiedot-portti)

    • Kun laadittu, passiivista FTP-yhteys näyttää tältä:

    vaiheessa 1 asiakkaan yhteystiedot server command portin ja issuesthePASVkomento., Palvelin vastaa sitten vaiheessa 2PORT 2024kertoo asiakkaalle mikä portti se kuuntelee tofor datayhteyden. Vaihe 3 asiakas muodostaa tietoliikenneyhteyden sen data-portti määritetyn palvelimen tiedot-porttiin. Lopuksi palvelin lähettää takaisin ACK vaiheessa 4 asiakkaan dataportin.

    vaikka passiivinen tila FTP ratkaisee monia ongelmia asiakkaan puolelta, se avaa useita ongelmia palvelimen puolella. Biggestissue on tarve sallia etäyhteyden korkeisiin numeroituihin portteihin palvelimella., Onneksi monet FTP demonit, mukaan lukien suosittu WU-FTPDallow ylläpitäjä määritä porttialue, jonka FTP-serverwill käyttää. Katso lisätietoja liitteestä 1.

    toinen ongelma liittyy passiivista tilaa tukevien asiakkaiden tukemiseen ja vianmääritykseen. Esimerkkinä, thecommand line FTP utility varustettu Solaris ei tue passivemode, edellyttävät kolmannen osapuolen FTP-client, kuten ncftp.
    huomautus: näin ei enää ole–käytä -p – vaihtoehtoa Solaris FTP-asiakkaan kanssa, jota voidaan käyttää passiivisessa tilassa!,

    World Wide Webin massiivisen suosion myötä monet ihmiset pitävät verkkoselaimestaan mieluummin FTP-asiakkaana. Useimmat selaimet tukevat vain FTP://URL-osoitteita. Tämä voi olla joko hyvä tai baddepending mitä palvelimet ja palomuurit on määritetty tukemaan.

    Passiivinen FTP-Esimerkki

    Alla on todellinen esimerkki passiivisen FTP-istunnon. Ainoat asiat, jotka on muutettu ovat palvelimen nimet, IP-osoitteet ja käyttäjätunnukset. Tässä esimerkissä FTP-istunto aloitetaan testbox1.slacksite.com (192.168.150.,80), linux laatikko käynnissä standardin FTP komentoriviltä asiakas, testbox2.slacksite.com (192.168.150.90), linux laatikko käynnissä ProFTPd 1.2.2RC2. Vianetsintälippua (-d) käytetään FTP-asiakkaan kanssa osoittamaan, mitä kulissien takana tapahtuu. Kaikki punaisella on vianetsintätulos, joka näyttää palvelimelle lähetettävät FTP-komennot ja niistä saadut vastaukset. Normaali palvelimen ulostulo näkyy mustana, ja käyttäjän tulo on lihavoitu.,

    huomaa ero PORT komennossa tässä esimerkissä verrattuna aktiiviseen FTP-esimerkkiin. Tässä, näemme portti avataan palvelimelle (192.168.150.90) järjestelmä, eikä asiakas. Katso keskustelu formaatin PORT komento mainittiin, Aktiivista FTP-Esimerkki-osiossa.,

    Muita Huomautuksia

    lukija, Maarten Sjouw, huomautti, että aktiivinen FTP-toiminto ei toimi, kun käytetään yhdessä asiakkaan puolella NAT (Network Address translation) – laitteen, joka ei ole tarpeeksi älykäs muuttaa IP-osoitteen info FTP-paketit.

    Yhteenveto

    seuraavan kaavion pitäisi auttaa ylläpitäjät muista, miten kukin FTP tilassa toimii:

     Active FTP : command : client >1023 -> server 21 data : client >1023 1023 -> server 21 data : client >1024 -> server >1023

    nopean yhteenvedon plussat ja miinukset aktiivinen vs. passiivinen FTP on myös järjestyksessä:

    Aktiivinen FTP on hyödyllistä FTP-palvelimella admin, mutta haitallista asiakkaan puolella admin., FTP-palvelin yrittää luoda yhteyksiä asiakkaan satunnaisiin korkeisiin portteihin, jotka lähes varmasti estettäisiin palomuurilla asiakkaan puolella. Passiivinen FTP on hyödyllinen asiakkaalle, mutta haitallinen FTP-palvelimen ylläpitäjälle. Asiakas tekee sekä yhteydet palvelimelle, mutta yksi heistä on satunnainen korkea portti, joka olisi lähes varmasti estänyt palomuuri palvelimen puolella.

    onneksi on jonkin verran kompromissia., Koska ylläpitäjät käynnissä FTP-palvelimia täytyy tehdä niiden palvelimet saatavilla suurin määrä asiakkaita, he lähes varmasti tarvitsevat tukea passiivinen FTP. Korkean tason porttien altistuminen palvelimelle voidaan minimoida määrittelemällä rajoitettu porttialue FTP-palvelimelle käytettäväksi. Näin ollen kaikki paitsi tämä valikoima portteja voidaan tuliasentaa palvelimen puolella. Vaikka tämä ei poista kaikkia riskejä palvelimelle, se vähentää sitä valtavasti. Katso lisätietoja liitteestä 1.,

    erinomainen referenssi siitä, miten eri internet-protokollia, työtä ja theissues mukana palomuuri niitä löytyy O ’ reilly andAssociates kirja, Rakennus Internet-Palomuurit, 2nd Ed, jonka BrentChapman ja Zwicky, Elizabeth.
    Huomautus 2012: Tämä kirja on hyvin vanha ja sen sisältämät tiedot saattavat olla vanhentuneita!

    Vastaa

    Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *