FTP Server dietro un NAT - porte modificate

lbossi · 19-08-2012, 14:54

Salve
a tutti sono nuovo in questo forum. Spero mi possiate aiutare.
Ho da poco deciso di installare un piccolo server FTP dietro un NAT.

Sono in ambiente Wiandows quindi ho installato Filezilla Server. Tutto funziona alla grande in LAN ma se qualcuno deve entrare da remoto non va.

Filezilla è impostato in modalita passiva con un utilizzo delle porte per i dati custom, per semplicita ho messo dalla 65001 alla 65003

Ho notato tuttavia tramitef un client da remoto che le porte all'uscita del router vengono modificate senza una logica!!! Cosa posso fare?
Help

wizard1993 · 19-08-2012, 20:28

usare la modalità attiva del protocollo ftp

dr.gazza · 19-08-2012, 20:52

il valore della porta su cui viene attivato il canale dati, in modalità attiva, è calcolato su un valore di base al quale viene aggiunto un valore basato sull'ip del client che fa la richesta e da li poi incrementato di 1 per ogni file transfer.

per evitare di incorrere in queste situazioni sarebbe opportuno usare un connessione passiva ( dal client al server ) dove le transazioni vengono veicolate sulla 21 e sul relativo canale dati che viaggia sulla porta 20

sul firewall ( del pc e della rete ) hai una regola ftp attiva ?

lbossi · 20-08-2012, 09:15

IO uso l'FTP in modalita PASSIVA (Passive Mode)
ovvero- ovvero ho definito che le porte che l'ftp deve utilizzare sono:
21 che serve per istaurare la connessione
65001 serve per file-transfer e navigazione nel file system remoto
65002 serve per file-transfer e navigazione nel file system remoto
65003 serve per file-transfer e navigazione nel file system remoto

Sul firewall router ho impostato le seguenti regole:
richieste sulla porta publica 65000 ---> devono essere indirizzate sulla 21 del server

richieste sulla porta publica 65001 ---> devono essere indirizzate sulla 65001 del server

richieste sulla porta publica 65002 ---> devono essere indirizzate sulla 65002 del server

richieste sulla porta publica 65003 ---> devono essere indirizzate sulla 65003 del server

La prima regola funziona correttamente in quanto dall'esterno collegandosi tramite protocollo ftp sulla porta 65000 con corretti username e password posso loggarmi e autenticarmi nel server; poi pero quando devo listare le directory non funziona più poichè il server invia il comando
PASV (IP,X,X) dov e (X,Y) calcolati come X*256+Y ->Porta Dati = 65001/2/3
tuttavia sul client mi ritrovo un PASV con (X,Y) di conseguenza il client tenta di instaurare una connessione dati su una porta che non ho la regola firewall attiva.

dr.gazza · 20-08-2012, 09:33

immagino tu abbia anche dato un'occhiata qui

lbossi · 20-08-2012, 10:00

esatto..
ti diro.. questa cosa l'avevo gia realizzata mo ho cambiato il modem/router

lbossi · 20-08-2012, 10:04

si certo

dr.gazza · 20-08-2012, 10:12

non vorrei dire una cavolata,
ma se provi con un range più basso ?
metti che non sia ben gestito il nat su porte cosi alte.. dal nuovo router
(senza offesa per il nuovo router naturalmente ! )

lbossi · 20-08-2012, 10:25

ho gia provato.. nada.. non capisco perche il router cambia le porte della sessione ftp.. questa è una cosa da firewall in realtà.. solo che ho disabilitato tutte le funzioni da firewall..

19-08-2012, 14:54	#1
lbossi Junior Member Iscritto dal: Aug 2012 Messaggi: 5	FTP Server dietro un NAT - porte modificate Salve a tutti sono nuovo in questo forum. Spero mi possiate aiutare. Ho da poco deciso di installare un piccolo server FTP dietro un NAT. Sono in ambiente Wiandows quindi ho installato Filezilla Server. Tutto funziona alla grande in LAN ma se qualcuno deve entrare da remoto non va. Filezilla è impostato in modalita passiva con un utilizzo delle porte per i dati custom, per semplicita ho messo dalla 65001 alla 65003 Ho notato tuttavia tramitef un client da remoto che le porte all'uscita del router vengono modificate senza una logica!!! Cosa posso fare? Help

19-08-2012, 20:28	#2
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22459	usare la modalità attiva del protocollo ftp __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

19-08-2012, 20:52	#3
dr.gazza Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 3304	il valore della porta su cui viene attivato il canale dati, in modalità attiva, è calcolato su un valore di base al quale viene aggiunto un valore basato sull'ip del client che fa la richesta e da li poi incrementato di 1 per ogni file transfer. per evitare di incorrere in queste situazioni sarebbe opportuno usare un connessione passiva ( dal client al server ) dove le transazioni vengono veicolate sulla 21 e sul relativo canale dati che viaggia sulla porta 20 sul firewall ( del pc e della rete ) hai una regola ftp attiva ? __________________ Avete mai notato che la gente ne sa molto di più quando cercate di dire qualcosa, che non quando chiedete qualcosa? [dr.Gazza]

20-08-2012, 09:33	#5
dr.gazza Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 3304	immagino tu abbia anche dato un'occhiata qui __________________ Avete mai notato che la gente ne sa molto di più quando cercate di dire qualcosa, che non quando chiedete qualcosa? [dr.Gazza]

20-08-2012, 10:12	#8
dr.gazza Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 3304	non vorrei dire una cavolata, ma se provi con un range più basso ? metti che non sia ben gestito il nat su porte cosi alte.. dal nuovo router (senza offesa per il nuovo router naturalmente ! ) __________________ Avete mai notato che la gente ne sa molto di più quando cercate di dire qualcosa, che non quando chiedete qualcosa? [dr.Gazza]

20-08-2012, 09:15	#4
lbossi Junior Member Iscritto dal: Aug 2012 Messaggi: 5	IO uso l'FTP in modalita PASSIVA (Passive Mode) ovvero- ovvero ho definito che le porte che l'ftp deve utilizzare sono: 21 che serve per istaurare la connessione 65001 serve per file-transfer e navigazione nel file system remoto 65002 serve per file-transfer e navigazione nel file system remoto 65003 serve per file-transfer e navigazione nel file system remoto Sul firewall router ho impostato le seguenti regole: richieste sulla porta publica 65000 ---> devono essere indirizzate sulla 21 del server richieste sulla porta publica 65001 ---> devono essere indirizzate sulla 65001 del server richieste sulla porta publica 65002 ---> devono essere indirizzate sulla 65002 del server richieste sulla porta publica 65003 ---> devono essere indirizzate sulla 65003 del server La prima regola funziona correttamente in quanto dall'esterno collegandosi tramite protocollo ftp sulla porta 65000 con corretti username e password posso loggarmi e autenticarmi nel server; poi pero quando devo listare le directory non funziona più poichè il server invia il comando PASV (IP,X,X) dov e (X,Y) calcolati come X*256+Y ->Porta Dati = 65001/2/3 tuttavia sul client mi ritrovo un PASV con (X,Y) di conseguenza il client tenta di instaurare una connessione dati su una porta che non ho la regola firewall attiva.

20-08-2012, 10:00	#6
lbossi Junior Member Iscritto dal: Aug 2012 Messaggi: 5	esatto.. ti diro.. questa cosa l'avevo gia realizzata mo ho cambiato il modem/router

20-08-2012, 10:04	#7
lbossi Junior Member Iscritto dal: Aug 2012 Messaggi: 5	si certo

20-08-2012, 10:25	#9
lbossi Junior Member Iscritto dal: Aug 2012 Messaggi: 5	ho gia provato.. nada.. non capisco perche il router cambia le porte della sessione ftp.. questa è una cosa da firewall in realtà.. solo che ho disabilitato tutte le funzioni da firewall..

Strumenti
Mostra una versione stampabile Invia questa pagina per email