Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Или 20-й порт или пассивный режим на всех клиентах 08.10.03 02:06 Число просмотров: 2717
Автор: void <Grebnev Valery> Статус: Elderman
|
> Хотя не уверен, что 20-й порт поможет, если сервак со > сквидом еще и нат держит > > А для пассивного режима придется открывать исходящие > 1025-65535 > > Ну или в некоторых файрволах есть слежение за трафиком. В > том смысле, что он смотрит что протокол-то ФТП и открывает > нужный порт (указанный в команде PASV) на выход.
OK! amirul. Давай разберёмся. И возможно подскажем что-нить (возможно и самим себе - я только про себя, малограмотного).
Вначале для всех кому интересно, что думает и предлагает MS в этой части.
MS правильно думает. Он думает, что существует RFC, который никто не отменял, какой бы клиент нибыл.
RFC 959 предполагает, что для нормальной работы
FPT-сервер (забудем пока про наты-шматы) использует два порта один для управления передачей - другой, собственно, для передачи файлов.
Это можно найти в файликах на MS-серверах.
ftp-data 20/tcp File Transfer [Default Data]
ftp-data 20/udp File Transfer [Default Data]
ftp 21/tcp File Transfer [Control]
ftp 21/udp File Transfer [Control]
21 - порт используется для контроля передачи. Клиент устанавливает (активно) управляющиее соединение к 21 порту сервера (тот открывает соединение пассивно) для передачи FTP-комманд серверу и получения от него FTP-откликов. Управляющее соединение существует все время, пока клиент общается с сервером. 21-порт это порт сервера.
По 20 -му порту (серверному) собственно и происходит передача данных под "надзором" управляющего соединения по порту 21 (серверного).
Это 20-порт необходим для соединения, которое существует ТОЛЬКО В МОМЕНТ ПЕРЕДАЧИ ДАННЫХ. Это отличает указанное соединение от такового по 21 порту, которое существует ВСЁ ВРЕМЯ, ПОКА КЛИЕНТ РАБОТАЕТ С СЕРВЕРОМ. 20-порт это порт сервера.
******** Вот, что пишет MS для двух сценариев размещения FTP
1) Co-locating FTP services with Proxy
FTP Server IN (Filter 1 of 2)
Protocol = TCP
Direction = IN
Local Port = 21
Remote Port = Any
FTP Server OUT (Filter 2 of 2)
Protocol = TCP
Direction = BOTH
Local Port = 20
Remote Port = Any
FTP Server Dynamic (Optional)
Protocol = TCP
Direction = BOTH
Local Port = Dynamic port (1025-5000)
Remote Port = Any
2) Ftp за MS Proxy Server 2.0
DIR PROTOCOL LOCAL PORT REMOTE PORT LOCAL ADDRESS REMOTE ADDRESS
In TCP 21 Any Default Any
Both TCP 20 Any Default Any
Дополнительную литературу по конфигурации прокси для работы с FTP вы можете найти здесь:
Q236001
Microsoft Knowledge Base Article – 236001
Err Msg: 425 Can't Open Data Connection
.. to allow FTP port 20 to be bound to the external interface…
Q174785
Microsoft Knowledge Base Article – 174785
Common Packet Filters
FTP Server IN (Filter 1 of 2)
Protocol = TCP
Direction = IN
Local Port = 21
Remote Port = Any
FTP Server OUT (Filter 2 of 2)
Protocol = TCP
Direction = BOTH
Local Port = 20
Remote Port = Any
********** Вы можете возразить, что, мол, прокси это не ещё не «настоящий» FireWall, да и технология прокси отличается, например, от NAT. Но тогда посмотрите вот это (тоже от Майкрософт) про NAT:
Q254018
How to Configure Input Filters for Services That Run Behind Network Address Translation
Client External File Transfer Protocol (FTP) Access
Use the following configuration if you want to enable internal clients to connect to FTP servers on the Internet:
Source 0.0.0.0 Protocol TCP Source Port 21
Source 0.0.0.0 Protocol TCP Source Port 20
FTP Server Access
Use the following configuration if you run a FTP server on the NAT computer and want it to be accessible to Internet users:
Source 0.0.0.0 Protocol TCP Destination Port 21
Source 0.0.0.0 Protocol TCP Destination Port 20
Вы можете возразить, что Майкрософт-майкрософтом. А на других платформах как?
Точно также. Например, прочитайте вот эту статью (или выдержку из неё ниже).
http://info.krc.karelia.ru/unix/FreeBSD/ipfw/ipfw.shtml
Настройка роутера на базе FreeBSD
# Разрешаем работу с FTP серверами
# Обратите внимание что 20 порт протокола TCP используется для
# передачи данных, помимо 21 порта.
${fwcmd} add pass tcp form any 21 to any
${fwcmd} add pass tcp from any to any 21
${fwcmd} add pass tcp from any 20 to any
${fwcmd} add pass tcp from any to any 20
Сразу скажу, чтобы не навредить, что приведённый выше фрагмент ACL для FreeBSD – очень примитивен. И его, конечно, не стоит непосредственно использовать в реальной ситуации. Но фрагмент этого ACL позволяет понять - что и как.
Напоследок приведу Вам реальный трафик, который я записал при попытке «качнуть» файл readme.txt c ftp.microsoft.com. Вначале приводятся команды ftp-клиента (чтобы Вам было понятно, что я там делал), а затем, собственно, фрагмент лога с пояснениями.
C:\>ftp
ftp> open ftp.microsoft.com
Connected to ftp.microsoft.com.
220 Microsoft FTP Service
User (ftp.microsoft.com:(none)): ftp
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230-This is FTP.Microsoft.Com
230 Anonymous user logged in.
ftp> cd developr
250 CWD command successful.
ftp> get readme.txt
200 PORT command successful.
150 Opening ASCII mode data connection for readme.txt(1427 bytes).
...
...
open ftp.microsoft.com - активно соединяемся
9/30/2003, 17:41:19, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, SYN
9/30/2003, 17:41:21, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, SYN ACK
9/30/2003, 17:41:21, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
начинаем говорить о паролях и других глупостях
здесь же делаем
ftp> cd developr
9/30/2003, 17:41:23, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:41:23, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:41:27, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:41:28, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:41:28, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:41:37, x.y.w.z, 195.133.115.11, Tcp, 65074, 25, ACK
9/30/2003, 17:41:41, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:41:42, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:41:42, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:41:44, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:41:44, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:41:58, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:42:00, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, ACK
9/30/2003, 17:42:00, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:42:00, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:42:20, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:42:21, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:42:21, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:42:23, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:42:23, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
Пытаемся качнуть файл readme.txt
ftp> get readme.txt
200 PORT command successful.
150 Opening ASCII mode data connection for readme.txt(1427 bytes).
9/30/2003, 17:42:26, 207.46.133.140, x.y.w.z, Tcp, 20, 65142, SYN
9/30/2003, 17:42:26, x.y.w.z, 207.46.133.140, Tcp, 65142, 20, SYN ACK
9/30/2003, 17:42:27, 207.46.133.140, x.y.w.z, Tcp, 20, 65142, PSH ACK
9/30/2003, 17:42:27, x.y.w.z, 207.46.133.140, Tcp, 65142, 20, ACK
Здесь в четырёх строках выше создано TCP-соединение, собственно для передачи
файла с 20-го порта сервера мелкософта
9/30/2003, 17:42:28, x.y.w.z, 207.46.133.140, Tcp, 65142, 20, RST
Упс... Провода плохие. Возвращаемся к управляющему соединению.
9/30/2003, 17:42:29, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:42:29, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:43:40, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:43:40, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:43:46, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, FIN PSH ACK
9/30/2003, 17:43:46, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:43:46, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, FIN ACK
9/30/2003, 17:43:51, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, FIN ACK
9/30/2003, 17:44:03, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, ACK
До свидания... (это про трафик)
И последнее. В случае разных защищалок (неважно что - нат, нечто эфимерное, называемое волшебным словом firewall) действительно есть ситуации, что клиент якобы работает только по 21-порту. Но никто не смотрел трафик между интерфейсом ftp и ВНУТРЕННИМ интефейсом "защищалки". Думаю, там можно обнаружить пакеты с 20-го
серверного порта.
Как думаете про то, что вам написал малограмотный?
|
<sysadmin>
|
настройка proxy для FTP 04.09.03 12:55
Автор: jammer <alex naumov> Статус: Elderman
|
что, кроме порта 21, нужно открыть для работы с FTP? включая аплоад, разумеется.
очень интересует именно через squid.
хотя как вариант можно и ISA.
интересует именно через proxy, а не NAT.
сорри за тупой вопрос. раньше ковырялся с винраутом - все работало само :)
|
|
Настройка ISA для FTP 02.10.03 11:45
Автор: RussianTyran Статус: Незарегистрированный пользователь
|
Ребят - Сорри что новую тему не открываю - просто схожий случай.
Есть ISA Server - На другой машине поставил FTP Server ( В данном случае Serv-U). Машина без клиента фаервола (где то прочитал - что службы опубликованные на ISA должны стоять на машинах Secure-NAT). В сети по локалке FTP работает - а при заходе через ISA - зависает на прочтении директории. ВОт и Вопрос - что не так сделал? или не доделал? На ISA не стоят никакие фильтры - отключал даже антивирь - Опубликовывал встроенным протоколом FTP Server - (открывает входящий 21 )
|
| |
Настройка ISA для FTP 03.10.03 10:42
Автор: Costavaldes Статус: Незарегистрированный пользователь
|
Опубликовал то его правильно, но необходимо еще IP Pacet filters настроить, а об этом посмотри www.isaserver.org
тебе сюда
|
|
Как насчет 20 порта? 04.09.03 13:46
Автор: Yurii <Юрий> Статус: Elderman
|
|
| |
Или 20-й порт или пассивный режим на всех клиентах 04.09.03 14:20
Автор: amirul <Serge> Статус: The Elderman Отредактировано 04.09.03 14:21 Количество правок: 1
|
Хотя не уверен, что 20-й порт поможет, если сервак со сквидом еще и нат держит
А для пассивного режима придется открывать исходящие 1025-65535
Ну или в некоторых файрволах есть слежение за трафиком. В том смысле, что он смотрит что протокол-то ФТП и открывает нужный порт (указанный в команде PASV) на выход.
|
| | |
Или 20-й порт или пассивный режим на всех клиентах 08.10.03 02:06
Автор: void <Grebnev Valery> Статус: Elderman
|
> Хотя не уверен, что 20-й порт поможет, если сервак со > сквидом еще и нат держит > > А для пассивного режима придется открывать исходящие > 1025-65535 > > Ну или в некоторых файрволах есть слежение за трафиком. В > том смысле, что он смотрит что протокол-то ФТП и открывает > нужный порт (указанный в команде PASV) на выход.
OK! amirul. Давай разберёмся. И возможно подскажем что-нить (возможно и самим себе - я только про себя, малограмотного).
Вначале для всех кому интересно, что думает и предлагает MS в этой части.
MS правильно думает. Он думает, что существует RFC, который никто не отменял, какой бы клиент нибыл.
RFC 959 предполагает, что для нормальной работы
FPT-сервер (забудем пока про наты-шматы) использует два порта один для управления передачей - другой, собственно, для передачи файлов.
Это можно найти в файликах на MS-серверах.
ftp-data 20/tcp File Transfer [Default Data]
ftp-data 20/udp File Transfer [Default Data]
ftp 21/tcp File Transfer [Control]
ftp 21/udp File Transfer [Control]
21 - порт используется для контроля передачи. Клиент устанавливает (активно) управляющиее соединение к 21 порту сервера (тот открывает соединение пассивно) для передачи FTP-комманд серверу и получения от него FTP-откликов. Управляющее соединение существует все время, пока клиент общается с сервером. 21-порт это порт сервера.
По 20 -му порту (серверному) собственно и происходит передача данных под "надзором" управляющего соединения по порту 21 (серверного).
Это 20-порт необходим для соединения, которое существует ТОЛЬКО В МОМЕНТ ПЕРЕДАЧИ ДАННЫХ. Это отличает указанное соединение от такового по 21 порту, которое существует ВСЁ ВРЕМЯ, ПОКА КЛИЕНТ РАБОТАЕТ С СЕРВЕРОМ. 20-порт это порт сервера.
******** Вот, что пишет MS для двух сценариев размещения FTP
1) Co-locating FTP services with Proxy
FTP Server IN (Filter 1 of 2)
Protocol = TCP
Direction = IN
Local Port = 21
Remote Port = Any
FTP Server OUT (Filter 2 of 2)
Protocol = TCP
Direction = BOTH
Local Port = 20
Remote Port = Any
FTP Server Dynamic (Optional)
Protocol = TCP
Direction = BOTH
Local Port = Dynamic port (1025-5000)
Remote Port = Any
2) Ftp за MS Proxy Server 2.0
DIR PROTOCOL LOCAL PORT REMOTE PORT LOCAL ADDRESS REMOTE ADDRESS
In TCP 21 Any Default Any
Both TCP 20 Any Default Any
Дополнительную литературу по конфигурации прокси для работы с FTP вы можете найти здесь:
Q236001
Microsoft Knowledge Base Article – 236001
Err Msg: 425 Can't Open Data Connection
.. to allow FTP port 20 to be bound to the external interface…
Q174785
Microsoft Knowledge Base Article – 174785
Common Packet Filters
FTP Server IN (Filter 1 of 2)
Protocol = TCP
Direction = IN
Local Port = 21
Remote Port = Any
FTP Server OUT (Filter 2 of 2)
Protocol = TCP
Direction = BOTH
Local Port = 20
Remote Port = Any
********** Вы можете возразить, что, мол, прокси это не ещё не «настоящий» FireWall, да и технология прокси отличается, например, от NAT. Но тогда посмотрите вот это (тоже от Майкрософт) про NAT:
Q254018
How to Configure Input Filters for Services That Run Behind Network Address Translation
Client External File Transfer Protocol (FTP) Access
Use the following configuration if you want to enable internal clients to connect to FTP servers on the Internet:
Source 0.0.0.0 Protocol TCP Source Port 21
Source 0.0.0.0 Protocol TCP Source Port 20
FTP Server Access
Use the following configuration if you run a FTP server on the NAT computer and want it to be accessible to Internet users:
Source 0.0.0.0 Protocol TCP Destination Port 21
Source 0.0.0.0 Protocol TCP Destination Port 20
Вы можете возразить, что Майкрософт-майкрософтом. А на других платформах как?
Точно также. Например, прочитайте вот эту статью (или выдержку из неё ниже).
http://info.krc.karelia.ru/unix/FreeBSD/ipfw/ipfw.shtml
Настройка роутера на базе FreeBSD
# Разрешаем работу с FTP серверами
# Обратите внимание что 20 порт протокола TCP используется для
# передачи данных, помимо 21 порта.
${fwcmd} add pass tcp form any 21 to any
${fwcmd} add pass tcp from any to any 21
${fwcmd} add pass tcp from any 20 to any
${fwcmd} add pass tcp from any to any 20
Сразу скажу, чтобы не навредить, что приведённый выше фрагмент ACL для FreeBSD – очень примитивен. И его, конечно, не стоит непосредственно использовать в реальной ситуации. Но фрагмент этого ACL позволяет понять - что и как.
Напоследок приведу Вам реальный трафик, который я записал при попытке «качнуть» файл readme.txt c ftp.microsoft.com. Вначале приводятся команды ftp-клиента (чтобы Вам было понятно, что я там делал), а затем, собственно, фрагмент лога с пояснениями.
C:\>ftp
ftp> open ftp.microsoft.com
Connected to ftp.microsoft.com.
220 Microsoft FTP Service
User (ftp.microsoft.com:(none)): ftp
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230-This is FTP.Microsoft.Com
230 Anonymous user logged in.
ftp> cd developr
250 CWD command successful.
ftp> get readme.txt
200 PORT command successful.
150 Opening ASCII mode data connection for readme.txt(1427 bytes).
...
...
open ftp.microsoft.com - активно соединяемся
9/30/2003, 17:41:19, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, SYN
9/30/2003, 17:41:21, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, SYN ACK
9/30/2003, 17:41:21, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
начинаем говорить о паролях и других глупостях
здесь же делаем
ftp> cd developr
9/30/2003, 17:41:23, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:41:23, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:41:27, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:41:28, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:41:28, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:41:37, x.y.w.z, 195.133.115.11, Tcp, 65074, 25, ACK
9/30/2003, 17:41:41, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:41:42, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:41:42, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:41:44, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:41:44, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:41:58, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:42:00, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, ACK
9/30/2003, 17:42:00, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:42:00, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:42:20, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:42:21, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:42:21, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, PSH ACK
9/30/2003, 17:42:23, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:42:23, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
Пытаемся качнуть файл readme.txt
ftp> get readme.txt
200 PORT command successful.
150 Opening ASCII mode data connection for readme.txt(1427 bytes).
9/30/2003, 17:42:26, 207.46.133.140, x.y.w.z, Tcp, 20, 65142, SYN
9/30/2003, 17:42:26, x.y.w.z, 207.46.133.140, Tcp, 65142, 20, SYN ACK
9/30/2003, 17:42:27, 207.46.133.140, x.y.w.z, Tcp, 20, 65142, PSH ACK
9/30/2003, 17:42:27, x.y.w.z, 207.46.133.140, Tcp, 65142, 20, ACK
Здесь в четырёх строках выше создано TCP-соединение, собственно для передачи
файла с 20-го порта сервера мелкософта
9/30/2003, 17:42:28, x.y.w.z, 207.46.133.140, Tcp, 65142, 20, RST
Упс... Провода плохие. Возвращаемся к управляющему соединению.
9/30/2003, 17:42:29, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:42:29, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:43:40, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, PSH ACK
9/30/2003, 17:43:40, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:43:46, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, FIN PSH ACK
9/30/2003, 17:43:46, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, ACK
9/30/2003, 17:43:46, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, FIN ACK
9/30/2003, 17:43:51, x.y.w.z, 207.46.133.140, Tcp, 65134, 21, FIN ACK
9/30/2003, 17:44:03, 207.46.133.140, x.y.w.z, Tcp, 21, 65134, ACK
До свидания... (это про трафик)
И последнее. В случае разных защищалок (неважно что - нат, нечто эфимерное, называемое волшебным словом firewall) действительно есть ситуации, что клиент якобы работает только по 21-порту. Но никто не смотрел трафик между интерфейсом ftp и ВНУТРЕННИМ интефейсом "защищалки". Думаю, там можно обнаружить пакеты с 20-го
серверного порта.
Как думаете про то, что вам написал малограмотный?
|
|
|