Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Диапазон портов для пассивного режима ftp

Автор: TechSup
Дата сообщения: 10.04.2003 23:14
Собственно сабж. Нужен для настройки фаервола. Стоит Serv-U.
Автор: UncoNNecteD
Дата сообщения: 11.04.2003 06:03
Диапазона нет, он может весьма различатся от клиента и еще бог знает чего.
Для настройки нужен файрвол с контролем пакетов, который анализирует трафик по 21му порту и открывает необхолдимые входящие порты для пассивного FTP.
Автор: ooptimum
Дата сообщения: 11.04.2003 07:18
TechSup
Ты хочешь внести ограничения на порты, с которыми можно соединяться изнутри защищаемой брендмауэром сети?
Автор: TechSup
Дата сообщения: 11.04.2003 08:16
UncoNNecteD

Цитата:
и открывает необхолдимые входящие порты для пассивного FTP.

Вот именно этот диапазон мне и нужен.

Цитата:
Диапазона нет, он может весьма различатся от клиента и еще бог знает чего.

Фигово...
ooptimum
Имеется комп (простой такой комп на АДСЛе). Ну и как всякому нормальному человеку мне захотелось организовать на нём фтп сервачёк. Музыкой с друзьями обмнениваться, пятое-десятое...
Поставил я себе Serv-U. Всё работает, файлики по-сети бегают. Настроил фаервол на 20 и 21й порты (активный режим). Первокласник такое настроит. А вот дальше начались не то что проблемы, а непонятки...
Не все мои друзья используют для закачки фтп-клиенты. Многие пользуются ослом. А он редиска привык работать в пассивном режиме и лупит по одним ему ведомым (и ведомым ли вообще) портам. А вернее диапазону. Где-то примерно 3000-5000. Вот мне и хотелось узнать, может быть есть стандартный диапазон портов описаный в какой-нить базе знаний микрософта или на заборе не важно - лишь бы он правильный был
Автор: ooptimum
Дата сообщения: 11.04.2003 08:49
TechSup
Ты лучше объясни какую роль у тебя брэнмауэр ("фаервол") выполняет? Что значит

Цитата:
Настроил фаервол на 20 и 21й порты

Ты их оставил открытыми, а все остальное закрыл, или что? Я задаю все эти вопросы, потому что не ясна суть проблемы. Как я понимаю (но не уверен, что именно это ты имел в виду), у тебя закрыты брэндмауром все порты, кроме 20 и 21, оттого и все проблемы. Этого делать не следует, если ты не законченный параноик. Обычно закрывают только привилегированные порты (0-1024), а остальные оставляют открытыми. Все равно у тебя на них скорее всего не сидит ничего. А если и сидит, то ты можешь закрыть не весь диапазон 1025-65535, а только занятые порты, которые ты не хочешь показывать всему Интернету. Думаю, только так ты можешь избавиться от своих проблем.
Автор: TILK
Дата сообщения: 11.04.2003 09:40
Если фтп не видит только осел, то поробуй открыть порт 4662:

Цитата:
Доступность порта 4662/tcp (для eDonkey запросов). Если порт не отвечает, IP банится. Неотвечающий 4662 порт в 95 процентах случаев означает неправильную настройку файрвола. В eDonkey сетях этот порт является стандартным для получения запросов на скачивание файлов другими страждущими. В некоторых случаях с Вас можно скачивать и при закрытом порте, но не всегда.

Взято с http://eightn.comtv.ru/
Автор: TechSup
Дата сообщения: 11.04.2003 09:59
ooptimum

Цитата:
у тебя закрыты брэндмауром все порты, кроме 20 и 21, оттого и все проблемы

Нет. На фаерволе для Serv-U забиндены 20 и 21й порты - пускать всех.
Но при пассивном режиме ломятся ещё и по другим портам. Вот их надо тоже забиндить на доступ. Но я не знаю какие именно. Можно тупо разрешить все входящие соединения для диапазона 3000-5000 - но это ИМХО не правильно...
TILK
В смысле осла я имел ввиду IE
Автор: EndoR
Дата сообщения: 11.04.2003 10:03
TechSup

Цитата:
Но я не знаю какие именно

ну в логах фаервола посмотри, куда ломяцца... ловишь момент, вписываешь и все.
Автор: TILK
Дата сообщения: 11.04.2003 10:03
То-то я думаю, каким образом на фтп зайти можно ослом?
Попроси своих товарищей поставить себе легкий файрвол, такой как керио.
Я с помощью него всегда с легкостью узнавал необходимые порты.

Добавлено
EndoR
кстати да, ты прав. Только не все фиреволы правильные логи выдают
Автор: TechSup
Дата сообщения: 11.04.2003 10:19
EndoR

Цитата:
ну в логах фаервола посмотри, куда ломяцца... ловишь момент, вписываешь и все

Это не выход. Потомучто биндить придётся хренову тучу портов (я же говорю, что они примерно в диапазоне 3000-5000). Не биндить же мне 2000 портов, прально
TILK

Цитата:
Я с помощью него всегда с легкостью узнавал необходимые порты

Узнать порты не проблема.
привожу пример:
выкладываю на фтп 10 картинок. Народ заходит ослами - двойной клик на картинке и начинается... запросы на совершенно разные порты. Никакой логики даже близко не наблюдается.
Автор: ooptimum
Дата сообщения: 11.04.2003 10:22
TechSup

Цитата:
Нет. На фаерволе для Serv-U забиндены 20 и 21й порты - пускать всех.
Но при пассивном режиме ломятся ещё и по другим портам. Вот их надо тоже забиндить на доступ. Но я не знаю какие именно. Можно тупо разрешить все входящие соединения для диапазона 3000-5000 - но это ИМХО не правильно...

Вот именно, что "да", я понял тебя правильно. Как я и писал, проблема в том, что у тебя закрыты все порты, кроме 20 и 21. И твое ИМХО не вернО, порты в диапазоне 1025-65535 должны быть открыты для входящих соединений. Закрывать надо не весь диапазон выше 1024, а только те порты, на которых висят сервисы, которые ты не хочешь показывать всему Интернету, такие как M$ SQL, WINS, Radius и т.д. Впрочем, я повторяюсь. Другого решения нет.
Автор: TechSup
Дата сообщения: 11.04.2003 12:32
ooptimum
Спасибо за объяснение
Автор: UncoNNecteD
Дата сообщения: 11.04.2003 13:56

Цитата:
Другого решения нет.

ooptimum
PIX Firewall позволяет работать как я говорил. Я уверен что и другие сервер-файрволы тоже.
Они открывают на входящее соединение те порты которые работают в течении сессии по 21му порту.


Цитата:
порты в диапазоне 1025-65535 должны быть открыты для входящих соединений. Закрывать надо не весь диапазон выше 1024, а только те порты, на которых висят сервисы, которые ты не хочешь показывать всему Интернету

Мде, а если за файрволом сетка? откуда ты знаешь какие завтра в ней появятся сервисы?


Добавлено

Цитата:
Другого решения нет.

ooptimum
PIX Firewall позволяет работать как я говорил. Я уверен что и другие сервер-файрволы тоже.
Они открывают на входящее соединение те порты которые работают в течении сессии по 21му порту.


Цитата:
порты в диапазоне 1025-65535 должны быть открыты для входящих соединений. Закрывать надо не весь диапазон выше 1024, а только те порты, на которых висят сервисы, которые ты не хочешь показывать всему Интернету

Мде, а если за файрволом сетка? откуда ты знаешь какие завтра в ней появятся сервисы?
Автор: ooptimum
Дата сообщения: 11.04.2003 15:29
UncoNNecteD

Цитата:
Они открывают на входящее соединение те порты которые работают в течении сессии по 21му порту

Ты сам-то понимаешь, что написал? Для того, чтобы открывать нужные порты, брэндмауэр должен ализировать весь трафик, идущий с/на 21 порт и быть при этом достаточно интеллектуальным, чтобы понять, что сервер переключают в пассивный режим и выделить номер порта, отданный сервером. Я допускаю, что это в принципе возможно, но для этого брэндмауэр должен, как минимум, точно знать, что на этом или любом другом порту (альтернативные конфигурации никто еще не отменял) сидит именно ftp сервер, а не что-то другое. Иначе любой дурак посредством телнет соединения и простенького скрипта на сервере откроет любой защищаемый порт.


Цитата:
Мде, а если за файрволом сетка? откуда ты знаешь какие завтра в ней появятся сервисы?

А какая разница, что за брэндмауэром находится? Ты же открываешь порты на нем самом, а не на том, что за ним. Если никто (софт) этот порт (любой) не слушает, то любая попытка на соединение с ним будет отклонена.

Не ожидал, если честно, от тебя такого вопроса...
Автор: UncoNNecteD
Дата сообщения: 11.04.2003 15:46

Цитата:
Для того, чтобы открывать нужные порты, брэндмауэр должен ализировать весь трафик, идущий с/на 21 порт и быть при этом достаточно интеллектуальным

Так и есть


Цитата:
Иначе любой дурак посредством телнет соединения и простенького скрипта на сервере откроет любой защищаемый порт

Вот за счет интеллектуальности этого и не произойдет, ибо анализируется именно ftp сессия и порты открываются на тот ip на котором стоит сервер ftp и с которым установлено ftp соединение.



Цитата:
А какая разница, что за брэндмауэром находится? Ты же открываешь порты на нем самом, а не на том, что за ним. Если никто (софт) этот порт (любой) не слушает, то любая попытка на соединение с ним будет отклонена

Большая разница.
Ведь ты прописываешь на нем всю защиту сети - если ты хочешь защитить свою сеть как минимум от троянов сидящих на произвольном порту - ты должен их закрыть.

Для большей информации почитай о настройке PIX файрвола на FTP сессии.



Цитата:
Не ожидал, если честно, от тебя такого вопроса...

От меня много чего можно ожидать
Автор: SurfKoba
Дата сообщения: 11.04.2003 15:55
To ooptimum

Цитата:
ализировать весь трафик, идущий с/на 21 порт и быть при этом достаточно интеллектуальным, чтобы понять, что сервер переключают в пассивный режим и выделить номер порта, отданный сервером.

Sorry что вмешиваюсь, но разума много не нужно, тот же NAT как то догадывается о том что дальше сказать в команде PORT (он то на себя открывает коннект и свой свободный порт).
Автор: ooptimum
Дата сообщения: 11.04.2003 16:30
UncoNNecteD

Во-первых, TechSup не говорил, что у него стоит PIX...


Цитата:
Вот за счет интеллектуальности этого и не произойдет, ибо анализируется именно ftp сессия и порты открываются на тот ip на котором стоит сервер ftp и с которым установлено ftp соединение.

Не знаю как там на самом деле у PIX, нет его у меня, но по-моему для этого от должен получать от тебя прямое указание: вот на этом сервере на таком-то порту стоит не что иное, как ftp, который может работать в пассивном режиме. Иначе при определенном стечении обстоятельств излишей его интеллектуальностью можно будет воспользоваться для проникновения на защищаемую территорию. Кстати, что такое PIX? Нет, конечно я про него читал и знаю, что это брендмауэр такой, но кроме этого он ведь должен быть либо мостом, либо маршрутизатором, либо коммутатором. Что он есть в довесок к брендмауэру?


Цитата:
Ведь ты прописываешь на нем всю защиту сети - если ты хочешь защитить свою сеть как минимум от троянов сидящих на произвольном порту - ты должен их закрыть.


Давай забудем про PIX пока. В качестве стендовой возьмем следующую конфигурацию: есть брендмауэр, его внешний адрес -- 212.110.0.1, а внутренний -- 192.168.0.1. За брендмауэром локалка, а в ней на компьютере с адресом 192.168.0.2 кто-то поставил Back Orifice. Брендмауэр не закрывает порт 31337 на внешнем интерфейсе. Как ты можешь, зная все эти факты, получить доступ извне к Back Orific'у на машине 192.168.0.2?



SurfKoba

Цитата:
но разума много не нужно, тот же NAT как то догадывается о том что дальше сказать в команде PORT (он то на себя открывает коннект и свой свободный порт).


NAT этим не занимается. Серверы за NATом не сидят. Во всяком случае без переадресации портов. А пассивный режим как раз и придуман, чтобы клиенты за NATом могли пользоваться внешними FTP.
Автор: UncoNNecteD
Дата сообщения: 11.04.2003 16:38

Цитата:
Давай забудем про PIX пока. В качестве стендовой возьмем следующую конфигурацию: есть брендмауэр, его внешний адрес -- 212.110.0.1, а внутренний -- 192.168.0.1. За брендмауэром локалка, а в ней на компьютере с адресом 192.168.0.2 кто-то поставил Back Orifice. Брендмауэр не закрывает порт 31337 на внешнем интерфейсе. Как ты можешь, зная все эти факты, получить доступ извне к Back Orific'у на машине 192.168.0.2?


А где же тогда стоит FTP сервер ?
Если на том же 192.168.0.2 - то как ты к нему получишь доступ ?


Цитата:
NAT этим не занимается. Серверы за NATом не сидят. Во всяком случае без переадресации портов. А пассивный режим как раз и придуман, чтобы клиенты за NATом могли пользоваться внешними FTP.


Значит за NAT'ом сервера не сидят, а за брандмауэром в локальной сети сидят ?
Что то ты зарапортовался имхо

Добавлено
По поводу PIX - это программно аппаратный комплекс, так называемый межсетевой экран.
Ну если хочешь - спец. роутер с спец софтом.
Автор: SurfKoba
Дата сообщения: 11.04.2003 16:51
ooptimum
Я абсолютно не пытаюсь Вас обидеть, но если мы пытается спорить что не бывает активного FTP из-за NAT (конечно клиента, а кто ж дает команду PORT), то это IMHO зря вы - их много (WinRoute первый).
Автор: UncoNNecteD
Дата сообщения: 11.04.2003 16:54
SurfKoba активный FTP сейчас не обсуждается, он собственно и не при чем.
Автор: SurfKoba
Дата сообщения: 11.04.2003 17:03
UncoNNecteD
IMHO мы беседуем о - Существуют ли софт работающий на уровне Transport и модифицирующий данные на уровне Application. (по OSI) Или я чего недопонимаю, тогда прошу извинения.

Добавлено
TechSup
Ну и предложенные решения
http://www.ncftpd.com/ncftpd/doc/misc/ftp_and_firewalls.html
Solution 1: The network administrator of the server network can configure the firewall to allow in the entire ephemeral port range. The range of ephemeral ports that need to be opened up is dependent on the configuration of the server machine that is running the FTP server software -- not the ephemeral ports on the firewall!
So, find out how the FTP server machine has configured the ephemeral port range (whose default range varies with the operating system) and then open those ports on the firewall. Ideally, the firewall should be configured so that only that range of ports is accessible to the FTP server machine. Also double check to be sure that there aren't any other TCP services with port numbers in the ephemeral port range listening on the FTP server machine.
Solution 2: The network administrator of the server network can consult the firewall vendor's documentation to see if FTP connections can be dynamically monitored and ports dynamically opened when a passive FTP connection is detected. This is similar to what intelligent network address translation software can do on the client side for PORT -- the FTP control connections are monitored, and when a packet containing "PASV" from an FTP session is detected, the firewall can automatically open the port.
Using our PASV example above, when the FTP server replies to the PASV request:
Server: 227 Entering Passive Mode (172,16,3,4,204,173)
The firewall would then parse the request and find that the client will be instructed to connect to port 52397 on the address 172.16.3.4. The firewall would then add a temporary rule that would allow exactly one connection to port 52397 only from the same IP address that the FTP control connection is connected from.

Итого как и ожидалось господа UncoNNecteD и ooptimum правы оба, или умный файрвол, или диапозон портов
Автор: ooptimum
Дата сообщения: 11.04.2003 17:56
UncoNNecteD

Цитата:
А где же тогда стоит FTP сервер ?
Если на том же 192.168.0.2 - то как ты к нему получишь доступ ?

А это уже не забота брендмауэра, как ты к нему получишь доступ. Если твой сервер стоит в локалке за брендмауэром, то достучаться до него извне можно только через переадресацию портов на внешнем интерфейсе шлюза между локалкой и интернетом.
Если ты настаиваешь на том, что надо закрывать все порты, то я настаиваю на том, что это имеет смысл только для защиты машины на которой, собственно, этот брендмауэр и установлен, т.е. в подавляющем большинстве случаев это наверняка будет какой-то personal firewall на машине конечного пользователя. На на таких машинах ftp серверы обычно не устанавливают. Если все же ты его установил, то тебе либо открывать все порты, на которые этот ftp может ожидать соединения, либо брендмауэр должен быть интеллектуальным, чтобы анализировать ftp трафик, а таких я среди персональных не встречал. На остальных брендмауэрах же, отделяющих сети друг от друга, а не хост от сети (т.е. не персональных), закрывать все неактивные порты (на которых ничего не висит или не должно висеть на самом брендмауэре) нет никакого смысла, бо они абсолютно useless на предмет соединения с чем бы то ни было. Согласен?

SurfKoba

Цитата:
Я абсолютно не пытаюсь Вас обидеть

Во-первых, мы тут на "ты", невзирая на возраст, чины и прочее. Так уж склалОсь среди сетян, незнакомых друг с другом лично. А во-вторых, ты меня не обидел ничем. Просто я не совсем улавливаю при чем тут то, что ты пишешь.

Цитата:
если мы пытается спорить что не бывает активного FTP из-за NAT (конечно клиента, а кто ж дает команду PORT), то это IMHO зря вы - их много (WinRoute первый)

Активного FTP-клиента из-за NAT не бывает. Даже под WinRout'ом. Прошу учесть, что я имею в виду именно NAT, а не связку NAT+firewall или NAT+proxy, все вместе или что-то еще.
Автор: SurfKoba
Дата сообщения: 11.04.2003 18:47
ooptimum
[offtopic]
Ты, Вы.
К сожалению мне так проще, и если не против продолжим.
[/offtopic]

Активного FTP-клиента из-за NAT не бывает. Даже под WinRout'ом.
Прямо сейчас я тяну FlashFXP-ом в mode Active w2k3 server. Медицинский факт.
Прошу учесть, что я имею в виду именно NAT
Хорошо, быстренько вспомнить only NAT, который занимался бы патчингом пакетом, я не в состоянии, но и занимаюсь я большей частью не only NAT-ами поэтому мне может не хватать кругозора.
Просто я не совсем улавливаю при чем тут то, что ты пишешь
На мой взгляд все просто, IMHO софт работающий на уровне Transport (firewall, router ...) может модифицировать пакеты уровня Application (FTP в частности).
Приведенная выше цитата подтверждает что такие firewall-ы есть про PIX я не знаю, но CheckPoint еще в достаточно старые времена эту фичу поддерживал (ставили мы или 4.1 или 4.0 не помню, из-за лицензионных проблем пришлось снять).

Добавлено
(+)
Полез на Керио за дополнительными разъяснениями, но наткнулся на еще более удивительный факт :
У Kerio Winroute Firewall 5 и WinRoute Pro 4.2 есть уже IPSec NAT Traversal support, это понятно агитки не верю я в IPSec через NAT как никак IP protocol 50, 51, т.е. типа не TCPIP, но раз supported значит кто то это уже делает.
http://www.kerio.com/wrp_comparison.html
Автор: ooptimum
Дата сообщения: 11.04.2003 20:35
SurfKoba

Цитата:
Прямо сейчас я тяну FlashFXP-ом в mode Active w2k3 server. Медицинский факт.

Ну и что? Ты же, судя по твоим предыдущим постам, грамотный человек и должен понимать, что такое NAT, в деталях. Допустим, ты не включил опцию "Exclude this computer from NAT" в настройках внешнего интерфейса своего WinRoute и твой компьютер имеет реальный адрес А. TCP/IP стек твоих форточек ничего не знает про WinRoute, сидящий на более низком уровне. Ты выходишь со своего ftp-клиента на внешний сервер, имеющий адрес Б. Что при этом происходит? (Я буду писать почти отфонарные номера портов через двоеточие после адреса, как мы привыкли это делать) Клиент пытается открыть соединение с ftp-сервером (cамо-собой, что клиент выберет в качестве исходного адреса адрес из подсети со шлюзом к серверу, т.е. это будет твой реальный адрес А -- это замечание необходимо в случае, если у тебя в машине несколько сетевых интерфейсов): А:1234 -> Б:21. В этот момент в игру вступает твой NAT -- запоминает исходный сокет А:1234 и заменяет его своим, а т.к. дело происходит на той же самой машине, то IP адрес тот же -- А, т.е. далее соединение выглядит следующим образом: А:2345 -> Б:21. Все ответы с Б:21 на адрес А:2345 NAT переправляет на исходный А:1234. Ничего необычного. Но вот тут твой клиент открывает соединение данных, т.е. он сообщает серверу Б, что ждет от него соединения на сокете А:3456. В этот момент инициатором соединения выступает уже сервер Б, т.е. соединение будет следующим: Б:20 -> А:3456. Т.к. это соединение инициировано сервером Б, его нет в таблице трансляции. В этом случае WinRoute просто отдает его выше в стек TCP/IP (для простоты примем, что firewall вообще отключен, т.е. ничего не фильтруется), где его уже ждет твой FTP-клиент, т.е. "NAT наоборот" не происходит. Если бы ты пытался использовать активную ftp сессию не с того же компьютера, где установлен WinRoute, а с любого другого за ним, у тебя бы ничего не вышло. Тоже медицинский факт. Таким образом я вообще не понимаю зачем нужна та опция в настройках WinRoute, что я привел в начале своего сообщения. Хотя может и нужна для чего-то...
Автор: TechSup
Дата сообщения: 11.04.2003 21:28
ooptimum

Цитата:
Во-первых, TechSup не говорил, что у него стоит PIX...

Да, у него @guard



Кстати по-сабжу (а то я в постах SurfKoba и ooptimum понимаю максимум пару слов из предложания )
Почитав хэлп к Serv-U я открыл для себя очень интересны и новые вещи:
В настройках Serv-U оказалось можно задать прямым путём какие порты он будет отдавать в пассивном режиме. По-дефолту там стояло 1024-65535. Так вот этот дипазон можно менять. Причём делается это на стороне сервера, а не клиента как я думал раньше. Т.е. при работе в пассивном режиме сервер отсылает клиенту диапазон портов (который можно настроить) в котором они будут между собой общаться.
Во как!

Автор: ooptimum
Дата сообщения: 11.04.2003 22:43
TechSup

Цитата:
а то я в постах SurfKoba и ooptimum понимаю максимум пару слов из предложания




Цитата:
при работе в пассивном режиме сервер отсылает клиенту диапазон портов (который можно настроить) в котором они будут между собой общаться.

Небольшая поправка -- в пассивном режиме сервер отсылает клиенту сокет (адрес+порт), на котором он ждет соединения со стороны данного клиента, а не диапазон портов.
Автор: TechSup
Дата сообщения: 11.04.2003 23:17
ooptimum

Цитата:
в пассивном режиме сервер отсылает клиенту сокет (адрес+порт), на котором он ждет соединения со стороны данного клиента, а не диапазон портов.

Ну ваще!
Автор: Dieduks
Дата сообщения: 12.04.2003 03:29
TechSup

Цитата:
В смысле осла я имел ввиду IE

Так тамже можно ( у тех кто заходят к тебе ) в IE отключить пассивный режим и все.
Автор: UncoNNecteD
Дата сообщения: 12.04.2003 09:05
ooptimum
Я говорю не о персональных файрволах, а именно о файрволах которые ставятся на брандмауэры.
Я не согласен что надо на брандмауэе все открыть и ставить на каждую клиентскую тачку персональные файрволы. Это глупость и утопия.


Добавлено
TechSup

Цитата:
Ну ваще!

Ты это к чему?
ooptimum сказал все правильно -

Цитата:
в пассивном режиме сервер отсылает клиенту сокет (адрес+порт), на котором он ждет соединения со стороны данного клиента, а не диапазон портов.

Естественно что порт выбирается из диапазона, но он (порт) один!
Автор: TechSup
Дата сообщения: 12.04.2003 12:06
UncoNNecteD

Цитата:
Ты это к чему?
ooptimum сказал все правильно

Это я так выражаю своё восхищение и благодарность

Страницы: 12

Предыдущая тема: Соединение компьютеров через модем


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.