Порты, необходимые для FTP
Для самого протокола нужно 20/TCP и 21/TCP (см. список стандартных портов).
И если у вас сервер будет работать в пассивном режиме, то нужно открыть еще пару любых портов и указать их в конфиге ftp в разделе о пассивном режиме.
Отслеживать
ответ дан 17 ноя 2011 в 7:00
236 1 1 серебряный знак 5 5 бронзовых знаков
- ftp
- порты
-
Важное на Мете
Похожие
Подписаться на ленту
Лента вопроса
Для подписки на ленту скопируйте и вставьте эту ссылку в вашу программу для чтения RSS.
Дизайн сайта / логотип © 2024 Stack Exchange Inc; пользовательские материалы лицензированы в соответствии с CC BY-SA . rev 2024.1.26.3951
forum.lissyara.su
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Отправить тему по email
- Версия для печати
Первое новое сообщение • 17 сообщений • Страница 1 из 1
iltmpz ефрейтор Сообщения: 58 Зарегистрирован: 2008-11-10 13:10:56
какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
(поиском пользовался, по теме ничего подходящего не нашел)
Настроил роутер для копроративной сети: снаружи вообще все закрыл, изнутри открыл только необходимые порты.
1 внешний ip, доступ наружу через NAT.
А пользователям «изнутри» надо коннектиться к внешним фтп-серверам.
Открыл вроде бы стандартный для пассивного ftp диапазон портов:
$ add allow tcp from any to any 49152-65535 in keep-state
Потом со своей локальной машины пытаюсь зайти на ftp://ip-сервера, а он не пускает, и в логах попытки стучаться на порты: . 10585, 10586, .
Другой фтп-сервер предлагает стучаться на порты: 37225, 36900, 44356
На локальной машине linux, пробую заходить командой ftp и смотреть ls.
Если написать $ add allow tcp from any to any in keep-state, то все работает, но как-то совсем уж не хочется писать такие штуки.
Как культурно решить проблему? Можно ли воздействовать на открываемые порты или как локализовать диапазон и открыть только нужные?
iltmpz
Хостинг HostFood.ru
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
paradox проходил мимо Сообщения: 11620 Зарегистрирован: 2008-02-21 18:15:41
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
а в клента в пассив переведите
paradox
iltmpz ефрейтор Сообщения: 58 Зарегистрирован: 2008-11-10 13:10:56
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
клиент вроде бы когда не может работать в active (за nat например), сам в пассив переводится. Во всяком случае ls пишет:
229 Entering Extended Passive Mode (|||17271|)
Или другой фтп-шник:
500 ‘EPSV’: command not understood
227 Entering Passive Mode
И после этого виснет. И в PASV, и в EPSV. Что логично, поскольку стучится через 17271-й порт, который закрыт.
А вот как понять, какие порты ему открыть, чтобы этого хватило и чтобы не открывать лишнего?
iltmpz
iltmpz ефрейтор Сообщения: 58 Зарегистрирован: 2008-11-10 13:10:56
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
Пока прописал диапазон портов: 10000-65535. Вроде бы работает. Можно считать, что на портах больше 10000 ничего интересного нет, хотя конечно обидно такую кучу портов открывать.
iltmpz
paradox проходил мимо Сообщения: 11620 Зарегистрирован: 2008-02-21 18:15:41
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
может лучше сначала разобраться что такое активный фтп и что такое пассивный фтп
и сеанс работы того и другого
paradox
iltmpz ефрейтор Сообщения: 58 Зарегистрирован: 2008-11-10 13:10:56
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
В активном клиент открывает серверу порт и говорит, какой.
А в пассивном сервер открывает свой порт и говорит клиенту, какой.
В моем случае — сеть из кучи компов за nat — не представляю как при этом каждый клиент за nat будет открывать свой порт НА РОУТЕРЕ. Или я неправ?
Т.е. остается только пассивный режим, в котором все и работает при всех открытых на роутере портах наружу. А все порты открывать не хочется.Однако пока пришлось: 10000-65535.
iltmpz
paradox проходил мимо Сообщения: 11620 Зарегистрирован: 2008-02-21 18:15:41
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
а что это за политика такая что вы клиенам ограничиваете порты наружу?
а если я ваш клиент и захочу по ssh выйти?
тоесь вы мне закроете доступ выхода по 22 порту?
или я чего то не понимаю
paradox
iltmpz ефрейтор Сообщения: 58 Зарегистрирован: 2008-11-10 13:10:56
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
paradox писал(а): а если я ваш клиент и захочу по ssh выйти?
тоесь вы мне закроете доступ выхода по 22 порту?
Нормальная такая параноидальная политика: закрыть все, что не должно быть открыто.
Конкретно 22-й порт я открыл, а вот аську например, возможно, понадобится закрыть для конкретных ip.
Да вообще приятнее как-то представлять, кто куда ломится — список задач четко определен и не так велик, а вирусы например во внутренней сети вылавливать гораздо удобнее. И софт который без спросу в инет лезет — тоже.
iltmpz
paradox проходил мимо Сообщения: 11620 Зарегистрирован: 2008-02-21 18:15:41
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
ну незнаю незнаю
как по мне так лучше открыть все наружу
чем каждый раз разбирать что там у юзера куда
а вообще у фтп есть два порта 20 21
их достаточно открыть
а что вы там открываете я как то не совсем понимаю
paradox
iltmpz ефрейтор Сообщения: 58 Зарегистрирован: 2008-11-10 13:10:56
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
paradox писал(а): ну незнаю незнаю
как по мне так лучше открыть все наружу
чем каждый раз разбирать что там у юзера куда
а вообще у фтп есть два порта 20 21
их достаточно открыть
а что вы там открываете я как то не совсем понимаю
Это скорее вопрос подхода — возможно, я и неправ — надоест с каждым портом возиться и открою все и всем, время покажет.
21 — открыть от клиента к серверу, а ответ нормально идет через established.
А 20-й (для активного режима) должен быть открыт на вход — снаружи (с 20-го порта) внутрь. Причем из-за nat он должен еще divert’иться, причем на конкретный внутренний ip, с которого поступил запрос, насколько я понимаю.
Как это сделать быстро и просто средствами ipfw — не представляю. Может быть, потом попробую придумать что-нибудь на тему ftp-прокси, но это уже отдельная история.
iltmpz
paradox проходил мимо Сообщения: 11620 Зарегистрирован: 2008-02-21 18:15:41
Re: какие порты открыть для пассивного ftp?
- Пожаловаться на это сообщение
- Цитата
и так
я так понял
что у вас проходящий роутер между юзерами и интернетом
и на роутере нужно настроить фаерол
Q7 — What is the difference between PASV & PORT mode ?
An FTP Server uses 2 ports :
— main port (usually 21) for command (USER, PASS, CWD . )
— data port (main port — 1) for data transfert (directory listing, upload & download)
The difference between Passive mode (PASV) and normal mode (PORT) is the connection :
— when using PASV, client asks server where it (the client) will have to connect to to establish data transfer link.
Client > PASV
Server > 227 Entering Passive Mode (209,15,39,184,249,155)
Ftp client must connect to 209.15.39.184 on port 249*256 + 155 = 63899
— when using PORT, client specifies what ip and port the FTP server must connect to to establish data transfer link :
Client > PORT 192,168,0,10,5,114
Server > 200 PORT command successful.
This time, it is the FTP server which connects to the FTP client (ip = 192.168.0.10 on port 5*256+114 = 1394)
PASV : client connects to server for data transfer
PORT : server connects to client for data transfer
more information : http://slacksite.com/other/ftp.html
тоесть вам нужен пассивный режим
и
PASV : client connects to server for data transfer
или я чего то подзабыл или что то вы не то понимаете
но думаю открытие 20,21 порта для прохождения наружу
тоесть нормального их натинга должно все работать
и все и работало наскоко я помню своих давние конфигурации роетра
а вы делатете наоборот для активного режима
Записки IT специалиста
Протокол FTP применяется давно и на первый взгляд предельно прост. Однако эта простота кажущаяся и многие начинают испытывать проблемы с установлением FTP-соединения, особенно когда сервер или клиент находятся за брандмауэром или NAT’ом. Поэтому сегодня мы поговорим об особенностях работы протокола FTP в различных режимах.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Протокол FTP является старейшим сетевым протоколом (создан в 1971 году), но, тем не менее, широко используется по сей день. Важной особенностью протокола является то, что он использует несколько соединений: одно для управляющих команд, остальные для данных. Причем соединений для передачи данных может открываться несколько, в каждом из которых файлы могут передаваться в обоих направлениях. Именно с этой особенностью и связан ряд проблем.
В зависимости от способа установления соединения для передачи данных различают активный и пассивный режимы работы FTP. В активном режиме сервер сам устанавливает соединение передачи данных к клиенту, в пассивном наоборот. Рассмотрим эти режимы более подробно.
Активный режим
В активном режиме клиент устанавливает управляющее соединение на порт 21 сервера и передает специальную команду PORT, в которой указывает свой адрес и порт для передачи данных. Получив данную команду, сервер устанавливает соединение с 20 порта на указанный в команде порт клиента.
Внимательный читатель сразу заметит недостаток данного метода: для работы в активном режиме клиенту требуется выделенный IP-адрес. Также определенные сложности будут возникать при нахождении клиента за брандмауэром или NAT’ом.
Пассивный режим
Для установления соединения в пассивном режиме клиент передает серверу команду PASV. В ответ сервер передает адрес и порт, на который следует устанавливать соединение для передачи данных. Получив эту информацию, клиент устанавливает подключение к серверу и начинает передачу данных.
Как видим, в пассивном режиме все соединения инициирует клиент и поэтому к нему нет никаких требований, он может находиться за NAT и брандмауэром, а также не иметь выделенного IP-адреса. Поэтому на сегодняшний день основным режимом работы FTP является пассивный.
Проблема брандмауэра
В активном режиме основная проблема возникает у клиента. Если брандмауэр настроен отбрасывать не инициированные изнутри входящие соединения, то сервер не сможет установить соединение для передачи данных. А так как порт для данных является динамическим, то возникают определенные сложности с настройкой брандмауэра. Наиболее правильным будет указать в клиенте диапазон используемых портов и создать для них разрешающее правило брандмауэра.
В пассивном режиме с такой проблемой может столкнуться сервер. Решение аналогичное: указываем в настройках сервера используемый диапазон портов и создаем для него разрешающее правило.
Проблема NAT
На первый взгляд может показаться, что для нормальной работы FTP-сервера через NAT требуется только правильно настроить форвардинг портов. Однако это не так. Если вы внимательно читали про работу протокола в начале статьи, то должны были запомнить, что в зависимости от режима сервер или клиент передают адрес и порт для соединения. А теперь задумаемся, какой адрес передаст сервер, находящийся за NAT? Правильно, внутренний и, несмотря на правильный проброс портов, клиент не сможет подключиться к такому серверу.
К счастью, большинство современных реализаций NAT умеют отслеживать управляющий канал FTP-соединения и заменяют внутренний адрес сервера адресом внешнего интерфейса. Однако, несмотря на это большинство FTP-серверов имеют опцию, позволяющую указать адрес внешнего интерфейса, который следует указывать в командах управляющей сессии.
В большинстве случаев для нормальной работы FTP-сервера за NAT достаточно будет пробросить 21 порт для управляющей сессии, 20 — для активного режима (если используется), а также указать и пробросить диапазон динамических портов для передачи данных.
Еще один важный момент, если вы пробрасываете порты для нескольких FTP-северов, то на каждом из них следует указать свой диапазон динамических портов и пробросить на эти же номера портов внешнего интерфейса. Почему? Потому что номер порта передается сервером в управляющей команде и ничего не знает о форвардинге, если номер порта, переданный сервером, не совпадет с номером порта на внешнем интерфейсе, то клиент не сможет установить соединение. В то время как управляющий порт и порт активного режима можно форвардить на любые внешние порты.
Надеемся, что данная статья поможет вам лучше понять механизм работы протокола FTP и осознанно подойти к процессу настройки и диагностики.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Дополнительные материалы:
- Простой FTP-сервер на базе Ubuntu (vsftpd)
- Особенности работы протокола FTP
- Настраиваем FTP-сервер с виртуальными пользователями на базе vsftpd
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал:
Как Проверить Открыт ли Порт 21
Возникли проблемы с подключением к учётной записи FTP? Если это так, стоит проверить, не является ли порт 21 причиной сбоя соединения. В этом руководстве мы покажем вам, как проверить, открыт ли порт 21.
Обновите свой хостинг уже сегодня с Hostinger!
Как Проверить Открыт ли Порт 21
Но прежде чем мы начнём, убедитесь, что у вас есть доступ к вашей системной консоли. Вы можете найти больше информации о том, как получить доступ к системной консоли в Windows, Linux и macOS, в этой статье (англ.).
Вот как можно проверить открыт ли FTP-порт 21:
-
Откройте системную консоль и введите следующую строку. Обязательно укажите ваше доменное имя. Эта команда применима ко всем операционным системам.
telnet vashdomen.com 21
220 FTP Server ready.
Как Включить Telnet Клиент
Поскольку для проверки соединения мы используем команду Telnet, вам необходимо убедиться, что в вашей операционной системе включен Telnet клиент.
Telnet — это протокол клиент-сервер, обеспечивающий удалённое управление компьютерами. В нашем случае он поможет нам проверить подключение к FTP-порту 21. В этом примере мы покажем, как включить Telnet клиент в Windows:
- Одновременно нажмите клавиши Window+R, затем введите control, чтобы открыть панель управления.
- Перейдите в Программы ->Программы и компоненты. Затем выберите опцию Включение или выключение компонентов Windows.
- В новом диалоговом окне установите флажок возле Telnet Client и нажмите OK.
Что Такое FTP-порт 21?
FTP — это интернет-протокол, который позволяет компьютерам в сети массово обмениваться файлами. Для правильной работы FTP должен использовать два порта: порт 21 для управления и контроля и порт 20 для передачи данных. FTP-клиент не может выполнить протокол, если ему не удаётся подключиться к портам FTP.
К сожалению, некоторые маршрутизаторы и брандмауэры блокируют этот порт, потому что хакеры часто атакуют FTP-серверы через порт 21.
Если у вас возникла проблема с FTP-соединением, важно проверить порт 21 на доступность.
Итоги
Некоторые маршрутизаторы и брандмауэры блокируют FTP-порт 21 из соображений безопасности, поэтому перед выполнением протокола передачи файлов важно проверить соединение порта. Вы можете найти больше информации о FTP здесь.
Мы надеемся, что вы нашли этот урок полезным. Если у вас есть вопросы, не стесняйтесь оставлять их в комментариях ниже.
Ольга вже близько восьми років працює менеджером у сфері IT, три з яких вона займається SEO. Написання технічних завдань та інструкцій — один з її основних обов’язків. Її хобі — дізнаватися щось нове і створювати цікаві та корисні статті про сучасні технології, веброзробку, мови програмування, пошукову оптимізацію сайтів та багато іншого.