Problema FTP

[rudy1989]

Ciao a tutti

Ho installato su di un server con windows server 2015 un server ftp con filezilla server. Ho seguito una delle numerose guide presenti in internet (sono tutte uguali...), ho avuto l'accortezza di aprire le porte sul router e il server ftp ha iniziato a funzionare perfettamente. Dopo circa 15 minuti che sfruttavo il server da remoto ha smesso di funzionare. Questo il log di filezilla client:

Stato: Connessione a ##.##.##.##:21...
Stato: Connessione stabilita, in attesa del messaggio di benvenuto...
Stato: Server non sicuro, non supporta FTP su TLS.
Stato: Accesso effettuato
Stato: Recupero elenco cartella di "/"...
Comando: CWD /
Risposta: 250 CWD successful. "/" is current directory.
Comando: PWD
Risposta: 257 "/" is current directory.
Comando: TYPE I
Risposta: 200 Type set to I
Comando: PASV
Risposta: 227 Entering Passive Mode (##.##.##.##,128,41)
Comando: MLSD
Errore: La connessione dati non può essere stabilita. ECONNREFUSED - Connessione rifiutata dal server
Risposta: 425 Can't open data connection for transfer of "/"
Errore: Non è stato possibile leggere il contenuto della cartella

##.##.##.## è l'ip statico della connessione telecom.

Ho provato a riavviare il server ed il router senza risultati. Potreste aiutarmi? grazie

due informazioni in più: all'interno della lan, inserendo l'ip locale, tutto funziona correttamente. Il firewall del server è disattivato. Ho provato anche a disattivare il firewall del router senza che cambiasse nulla.

[Gianfry24]

Che porte hai aperto?

Prova a seguire questa guida:
https://wiki.filezilla-project.org/N..._Configuration

[rudy1989]

Ho aperto le porte 21, 2121, 2122.

[Gianfry24]

Quote:

Originariamente inviato da rudy1989

Ho aperto le porte 21, 2121, 2122.

Intanto aprirei anche la porta TCP 20

[rudy1989]

Ok comportamento, almeno per me, strano! Ho disinstallato tutto, reinstallato, stesse impostazioni di prima e funzionava tutto. Sono tornato dal pranzo e ha smesso di funzionare! Senza che nessuno toccasse nulla! stessi sintomi di prima! riavviare il server non serve a nulla.

Sono sempre stato abituato che nel mondo dell'informatica le cose o vanno o non vanno, non che funzionino a tempo!

Log di filezilla server:

(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> Connected on port 21, sending welcome message...
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> 220-FileZilla Server 0.9.59 beta
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> 220-written by Tim Kosse ([email protected])
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> 220 Please visit https://filezilla-project.org/
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> AUTH TLS
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> 502 Explicit TLS authentication not allowed
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> AUTH SSL
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> 502 Explicit TLS authentication not allowed
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> USER pippo
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> 331 Password required for pippo
(000144)28/09/2016 11.26.48 - (not logged in) (###.###.###.###)> PASS ****
(000144)28/09/2016 11.26.48 - pippo (###.###.###.###)> 230 Logged on
(000144)28/09/2016 11.26.48 - pippo (###.###.###.###)> PWD
(000144)28/09/2016 11.26.48 - pippo (###.###.###.###)> 257 "/" is current directory.
(000144)28/09/2016 11.26.49 - pippo (###.###.###.###)> TYPE I
(000144)28/09/2016 11.26.49 - pippo (###.###.###.###)> 200 Type set to I
(000144)28/09/2016 11.26.49 - pippo (###.###.###.###)> PASV
(000144)28/09/2016 11.26.49 - pippo (###.###.###.###)> 227 Entering Passive Mode (##,##,##,##,8,73)
(000144)28/09/2016 11.26.49 - pippo (###.###.###.###)> MLSD
(000144)28/09/2016 11.27.00 - pippo (###.###.###.###)> 425 Can't open data connection for transfer of "/"

porta tcp 20 aperta.... nulla

[Gianfry24]

Probabilmente questo può aiutare:

By default the FTP client will connect through passive mode, and opens a random port between 1-65535. Now this is a wide range and I do not recommend opening all these ports. Instead you can limit the range of these ports to let's say: 50100-51100.

So lets do this, configure FileZilla Server Passive Port Range:
- Open up the FileZilla GUI on your server.
- Click on the top menu Edit -> Settings.
- From the tree menu click on Passive mode settings.
- Now make sure the checkbox Use custom port range is checked and enter 50100 in the first box a and 51100 in the second.
- Click OK

Now that you have finished setting up the custom port we can move forward to the Windows Server 2012 Firewall.

Configurating the Firewall
Lets open up the Firewall panel, press the Windows key on your keyboard and start typing firewall. The result should be Windows Firewall with advanced.... Click it or hit enter.
(Pro tip ;-) hit Windows Key + R -> firewall.cpl -> hit enter)

From the tree, select Inbound Rules.
In the right panel, click New Rule.
A windows pops up, select Port and click next.
Make sure TCP is selected, and enter 50100-51100 in the Specific local ports field.
Hit Next and make sure the Allow connection option is selected. Then hit Next again.
Select the zones where this rule need to be applied (in my case I have selected all the zones).
Click Next and give this rule a recognizable name: Passive FTP Ports - FileZilla.
Click on Finish, and your done.

[Gianfry24]

Altra cosa, io proverei a disabilitare anche il firewall del client giusto per sicurezza.

[rudy1989]

Intanto grazie dell'aiuto.

La prima parte l'ho già fatta impostando le porte 2121 e 2122 invece che 50100 e 51100 e aprendo le relative porte nel router come da indicazioni di un'altra guida.

Anche la seconda parte della guida da te postata avevo già seguito, anche se non è più necessaria in quanto ho disabilitato il firewall.

Escludo problemi di firewall al client, perché non accedo all'ftp da nessun pc/cellulare mentre nei primi minuti dopo l'installazione riesco ad accedere all'ftp anche dal browser dello smartphone.

Non capisco perché nei primi minuti dopo l'installazione funzioni tutto e dopo per far rifunzionare l'ftp debba disinstallare e reinstallare filezilla server!

[rudy1989]

ho aperto le porte 50000 e 50010 e relative porte sul router ma ancora nulla....

[rudy1989]

Forse mi sto avvicinando al problema anche se non sono riuscito a risolverlo...

La riga di log incriminata dovrebbe essere questa

Risposta: 227 Entering Passive Mode (##.##.##.##,128,41)

La porta su cui tenta di comunicare è la 128*256 + 41 = 32809

Io invece ho configurato filezilla server ed il router perché dialoghino usando le porte dalla 50000 alla 50010

Perché questo????

[webmaster1]

Quote:

Originariamente inviato da rudy1989

Forse mi sto avvicinando al problema anche se non sono riuscito a risolverlo...

La riga di log incriminata dovrebbe essere questa

Risposta: 227 Entering Passive Mode (##.##.##.##,128,41)

La porta su cui tenta di comunicare è la 128*256 + 41 = 32809

Io invece ho configurato filezilla server ed il router perché dialoghino usando le porte dalla 50000 alla 50010

Perché questo????

Esistono due modalità FTP, la PASSIVE e l'ACTIVE mode, senza entrare nel dettaglio prova a collegarti in ACTIVE mode e vedi se il problema permane, alcuni firewall e i firewall "stateless" hanno problemi in tal senso, mentre i firewall "seri" (che sono stateful, da layer 5 in su) riconoscono la sessione e la trattano di conseguenza... purtroppo se il tuo firewall non rientra in questa categoria ti rimane solo da aprire un vasto range di porte (dalla 1024 alla 5000 in uscita se ricordo bene) oppure mettere un firewall decente (esistono anche firewall gratuiti, come pfsense ad esempio, che puoi installare come appliance virtuali o su delle board dal costo di 100/150€ o ancora su vecchi PC, in giro puoi trovare tutte le info che servono)

[rudy1989]

Quote:

Originariamente inviato da webmaster1

Esistono due modalità FTP, la PASSIVE e l'ACTIVE mode, senza entrare nel dettaglio prova a collegarti in ACTIVE mode e vedi se il problema permane, alcuni firewall e i firewall "stateless" hanno problemi in tal senso, mentre i firewall "seri" (che sono stateful, da layer 5 in su) riconoscono la sessione e la trattano di conseguenza... purtroppo se il tuo firewall non rientra in questa categoria ti rimane solo da aprire un vasto range di porte (dalla 1024 alla 5000 in uscita se ricordo bene) oppure mettere un firewall decente (esistono anche firewall gratuiti, come pfsense ad esempio, che puoi installare come appliance virtuali o su delle board dal costo di 100/150€ o ancora su vecchi PC, in giro puoi trovare tutte le info che servono)

in modalità attiva ha funzionato perfettamente al primo tentativo. Però non posso imporre ai clienti l'utilizzo di questa modalità facendo ricadere su di loro l'incombenza di configurare la connessione. Non ho capito bene il tuo discorso sui firewall. Sono impreparato su questa materia. Non ci sono firewall hardware e sia quello di windows server 2012 che quello del router alice gate sono stati disattivati per escludere problematiche nella loro configurazione. Se fosse un bug del router, essendo un modello comune, penso che il forum sarebbe pieno di lamentele al riguardo. Grazie mille dell'aiuto

[webmaster1]

Quote:

Originariamente inviato da rudy1989

in modalità attiva ha funzionato perfettamente al primo tentativo. Però non posso imporre ai clienti l'utilizzo di questa modalità facendo ricadere su di loro l'incombenza di configurare la connessione. Non ho capito bene il tuo discorso sui firewall. Sono impreparato su questa materia. Non ci sono firewall hardware e sia quello di windows server 2012 che quello del router alice gate sono stati disattivati per escludere problematiche nella loro configurazione. Se fosse un bug del router, essendo un modello comune, penso che il forum sarebbe pieno di lamentele al riguardo. Grazie mille dell'aiuto

Prova allora a fare un NAT 1:1 e vedi subito se funziona senza problemi, una volta confermato questo ti rimane solo da usare un firewall per proteggere il tutto

[rudy1989]

Quote:

Originariamente inviato da webmaster1

Prova allora a fare un NAT 1:1 e vedi subito se funziona senza problemi, una volta confermato questo ti rimane solo da usare un firewall per proteggere il tutto

Ok però come si fa? Sto cercando in internet, ma se cerco di seguire le guide che ho trovato in internet mi scontro con funzionalità che sembrano mancanti sul router alice fornito dalla telecom.
Grazie

[webmaster1]

Quote:

Originariamente inviato da rudy1989

Ok però come si fa? Sto cercando in internet, ma se cerco di seguire le guide che ho trovato in internet mi scontro con funzionalità che sembrano mancanti sul router alice fornito dalla telecom.
Grazie

Purtroppo non conosco il router telecom (che dovrò mettere a breve, mi deve arrivare la fibra, e mi preoccupa non poco ora...), mi fai uno screen delle varie pagine? magari ad occhio si vede come poterlo fare...