Portál AbcLinuxu, 12. května 2025 15:35

Dotaz: Ftp server datový port?

23.2.2023 09:56 Malý
Ftp server datový port?
Přečteno: 594×
Odpovědět | Admin
Narazil jsem na následující problém, který možná není přímo pro tuto poradnu, ale snad někdo poradí. Mam LAN, kterou od internetu odděluje router s Liuxem. Veřejná IP pouze na WAN routeru. v síti je mimo jiné i stařičký server s Windows server 2008R2. Přišel požadavek umožnit z internetu přístup k některým souborům na Windows serveru. Původně jsem to chtěl nasdílet přes OneDrive, ale ukázalo se, že Microsoft WS2008R2 v OneDrive nepodporuje. Tak jsem se rozhodl pro Ftp. V IIS jsem vytvořil Ftp Server, na routeru nastavil routováni portu 21 na Windows server ve vnitřní síti a pohoda, vše funguje, pokud na portu 21 přijde požadavek na portu 20 se přenáší data. Problém nastal, když jsem chtěl Ftp provozovat na jiném portu, konkrétně 2121. Změnil jsem routování na routeru , místo 21 použil 2121 a na Windos serveru udělal nový Ftp na portu 2121. Ted sice požadavek na 2121 příjde, ale pak následuje chyba protože se nenaváže datová komunikace.

Poradíte kde je problém?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

23.2.2023 10:10 X
Rozbalit Rozbalit vše Re: Ftp server datový port?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Udelej si Wireguard a ten win server si bud nazdilej, nebo dopln o webdav. Hlavne zadne FTP. Never. Nikdy. Mrtvy protokol..
Max avatar 23.2.2023 16:30 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ftp server datový port?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Trochu nerozumím. Nejde komunikace ani ve vnitřní síti na portu 2121, nebo jen z venku? A před tím, když to běželo na portu 21, tak to z venku šlo?
Zdar Max
PS: Uniká mi smysl změny portu, provozu dávno nepodporovaného Windows serveru, snahu tento neopatchovaný win server vystavovat ven a snahou ho vystavovat ven přes neopatchovanou službu, která má docela guláš logy. Aneb, když už ftp na WinServeru, tak pomocí FileZilla Serveru, kde člověk vidí všechno a hned v realtime.
Měl jsem sen ... :(
Max avatar 23.2.2023 16:33 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ftp server datový port?
Jen bych ještě dodal, že pokud nejde komunikace ani ve vnitřní síti na portu 2121, tak se jedná o chybu konfigurace WinServeru (buď IIS, nebo Firewallu), tj. otázka nepatří na tento portál.
Pokud to funguje a řešíš propustnost z internetu, tak je třeba si uvědomit, že ftp nekomunikuje jen na portech 20 a 21, ale je třeba vědět, co je to ftp v pasivním režimu a jak se má nastavit včetně pasivních portů.
Zdar Max
Měl jsem sen ... :(
Jendа avatar 23.2.2023 22:32 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ftp server datový port?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Překvapuje mě, že se přenáší data na portu 20, mj. by to znamenalo, že může běžet jen jedno spojení současně. Co jsem viděl (linuxové) FTP servery, tak pro datový kanál otevíraly vždy nějaký náhodný vysoký port (a v konfiguraci šlo napsat jaký). Do iptables pak existuje FTP modul co ta nová spojení sleduje, aby to fungovalo i s port forwardem.

To je aktivní nebo pasivní mód FTP?
Ted sice požadavek na 2121 příjde, ale pak následuje chyba protože se nenaváže datová komunikace.
Cool a kdo se kam snaží připojit že to pak selže?

Osobně bych teda doporučil přimountovat Windows server přes Sambu na ten linuxový stroj a na něm spustit nějaké moderní sdílení souborů. Vystrkávat do internetu historická Windows s nešifrovaným protokolem pro přenos souborů zní jako fakt dobrý nápad.
24.2.2023 01:44 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Ftp server datový port?
Pokud si pamatuji, tak původní konktivita FTP byl aktivní mod. Klient poslal "PORT (a,b,c,d,e,f)" kde písmena byl desítkově zapsaný byte (jako v IPv4 adrese) abcd tvořilo adresu a ef port. A k tomu ef portu se server připojíl se svého portu 20.
Jendа avatar 24.2.2023 04:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ftp server datový port?
Aha, ale to by znamenalo, že mu nefunguje ze serveru odchozí spojení z portu 20, což nemá s port forwardem nic společného. (a nevím, v dnešní době funguje aktivní FTP jen pokud má klient veřejnou adresu, a proto se téměř vždy používá pasivní)
25.2.2023 05:32 .
Rozbalit Rozbalit vše Re: Ftp server datový port?
Žádná "původní" konektivita neexistuje. V aktivním i pasivním režimu se obě strany musí domluvit na portu.
26.2.2023 12:00 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Ftp server datový port?
Ach jo. Lidi nečtou dokumentaci. Asi díky tomu, že je starší než oni sami. RFC 959 - FILE TRANSFER PROTOCOL: John Postel Citace:

3.2. ESTABLISHING DATA CONNECTIONS odstavec 1: "The mechanics of transferring data consists of setting up the data connection to the appropriate ports and choosing the parameters for transfer. Both the user and the server-DTPs have a default data port. The user-process default data port is the same as the control connection port (i.e., U). The server-process default data port is the port adjacent to the control connection port (i.e., L-1)."

5.2 Connections - odstavec 1: "The server protocol interpreter shall "listen" on Port L." A odstavec 2: "The user-DTP must "listen" on the specified data port; this may be the default user port (U) or a port specified in the PORT command. The server shall initiate the data connection from his own default data port (L-1) using the specified user data port."

Tímto myslím původní konektivitu. A z vlastních zkušeností mohu potvrdit, že v letech 88-94, nikdo nikdo nepoužíval pasívní spojení. A každý server se na klienta připojoval s portu 20. Bylo to přirozeně tím, že všechny adresy tehdy byly veřejné. RFC 1519 - CIDR je se září 93 a tak více než rok trvalo než se uplatnil v širším měřítku.
24.2.2023 01:46 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Ftp server datový port?
Jo a jedno spojení je z toho, že na řídícím kanále normálně čekáš na ukončení předchozího příkazu než můžeš posílat další. (a asi nějaké mnovější implementace mají pipeline)
25.2.2023 05:37 .
Rozbalit Rozbalit vše Re: Ftp server datový port?
Ne, v případě fixního portu by bylo možné jen jedno spojení, protože při souběhu více spojení by nešlo poznat, které je čí (mimo více klientů na stejné adrese, ještě může být řídící i datové spojení z různých adres). Proto takhle FTP nefunguje.
24.2.2023 09:25 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Ftp server datový port?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Problém nastal, když jsem chtěl Ftp provozovat na jiném portu, konkrétně 2121
Doufám, že to není proto, aby to bylo bezpečné - protože nebude. Věřte tomu, že si ten FTP server velice rychle někdo najde. Zejména na "tajném" portu 2121.

Osobně bych si tipnul, že na tom linuxovém routeru je nastaveno, že se komunikace na portu 21 sleduje a dynamicky se povolují ta dodatečná (related) síťová spojení související s přenosem dat. Když jste to přehodil na port 2121, tak tohle přestalo fungovat a router vám něco blokuje. Řešením je v takovém případě přidat pro port 2121 stejné pravidlo, jaké je tam pro port 21. Nebo se vykašlat na zbytečné stěhování portů, které ničemu nepomůže.

Jinak pokud tipuju správně, tak to taky znamená, že se přihlašovací údaje k tomu FTP posílají přes internet nešifrovaně - k přečtení každému, kdo je po cestě. Vzhledem k celkové situaci bych to ale bral jenom jako (ne)bezpečnostní třešničku na dortu a že ty soubory nejsou nijak tajné.
Quando omni flunkus moritati
Max avatar 24.2.2023 09:55 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ftp server datový port?
Ještě existuje téměř nulová šance (vzhledem k tomu, co píše), že tam má povoleno ftps :).
Zdar Max
Měl jsem sen ... :(
AraxoN avatar 24.2.2023 14:38 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: Ftp server datový port?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Do lokálnej siete sa dostať cez VPN a súbory vo Windows zdieľať cez File Share (SMB)?
24.2.2023 18:25 Radek
Rozbalit Rozbalit vše Re: Ftp server datový port?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nasad SFTP, predejdes tím klasickým FTP problémům. A navíc to nikdo náhodou neodoslechne.
24.2.2023 18:42 X
Rozbalit Rozbalit vše Re: Ftp server datový port?
Na tom 2008 serveru je stara a derava SSL/TLS implementace, takze by si moc nepomohl..
Jendа avatar 24.2.2023 18:46 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ftp server datový port?
SFTP je přenos souborů přes SSH, se SSL/TLS to nemá nic společného. FTP přes TLS se jmenuje FTPS. A divil bych se kdyby staletá Windows uměla SFTP. Možná pomocí nějakého 3rd party programu, pokud ovšem tuto verzi ještě podporuje. 2008, to zní jako něco mezi XP (ty už fakt podporovány moderním softwarem nejsou) a 7 (ty ještě kupodivu docela bývají).
24.2.2023 19:30 X
Rozbalit Rozbalit vše Re: Ftp server datový port?
Predpokladam, ze pouziva nativni FTP a tam takova moznost je i pro 2008.
Max avatar 24.2.2023 19:44 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ftp server datový port?
Jenda mluví o sftp a ty linkuješ ftps. Dej si facku :).
Zdar Max
Měl jsem sen ... :(
Jendа avatar 24.2.2023 19:56 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ftp server datový port?
Pomůcka: FTPS je stejně jako HTTPS ten původní protokol, ale přes TLS. (stejně jako se někdy, byť ne tak často, používají označení pop3s a imaps, asi aby se to odlišilo od nešifrované inicializace + STARTTLS)
24.2.2023 21:28 X
Rozbalit Rozbalit vše Re: Ftp server datový port?
Panove, nejsem uplny idiot ;). Jen jsem chtel rici, ze pokud by tazatel pokracoval kde skoncil:
V IIS jsem vytvořil Ftp Server
a zapnul SSL, tak by si moc nepomohl. Nic vic. Nebijte me ;)
Jendа avatar 24.2.2023 21:38 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ftp server datový port?
Ale reaguješ na příspěvek, který hovoří o SFTP.
Max avatar 24.2.2023 19:48 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Ftp server datový port?
2003 = XP
2003R2 = XP SP3
2008 = Vista
2008R2 = Win7
2012 = Win8
2012R2 = Win8.1
2016-2019-2022 = Win10 build x-y-z
Zdar Max
Měl jsem sen ... :(
24.2.2023 23:16 Radek
Rozbalit Rozbalit vše Re: Ftp server datový port?
Solarwinds má zdarma SFTP server. Divil bych se, kdyby nejel na 2008r2.
25.2.2023 03:04 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Ftp server datový port?
Odpovědět | | Sbalit | Link | Blokovat | Admin

Tenhle dotaz je totálně mimo mísu; na linuxovém fóru nemá co dělat. Just sayin’.

Veřejná IP pouze na WAN routeru.

Proč? Veřejnou IP adresu má samozřejmě mít každé zařízení v síti. Není důvod, aby tomu bylo jinak.

v síti je mimo jiné i stařičký server s Windows server 2008R2. Přišel požadavek umožnit z internetu přístup k některým souborům na Windows serveru. Původně jsem to chtěl nasdílet přes OneDrive, ale ukázalo se, že Microsoft WS2008R2 v OneDrive nepodporuje. Tak jsem se rozhodl pro Ftp.

Proč? Pokud jde o sdílení souborů, proč tam nemůže být normální současný operační systém, například se Sambou, který by to sdílení zajistil nesrovnatelně flexibilněji a bezpečněji?

A hlavně: Proč FTP? FTP prostě do 21. století nepatří.

25.2.2023 10:41 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Ftp server datový port?
Veřejnou IP adresu má samozřejmě mít každé zařízení v síti. Není důvod, aby tomu bylo jinak.
Samozřejmě, že je. Veřejných IP adres není dostatek na to, abyste mohl každému zařízení dát alespoň jednu. Samozřejmě pokud nemluvíte o tom experimentu, který se ani během více než deseti let nedokázal prosadit.
Quando omni flunkus moritati
25.2.2023 10:51 Radek
Rozbalit Rozbalit vše Re: Ftp server datový port?
Mluvíš o IPv6? Skrz bezpečnost pořádná prasarna (ipv4 je bezpečnější, kdo říká opak, tak o bezpečnosti nic neví), nutnost zdvojovat pravidla. Zlatý nat.
Jendа avatar 25.2.2023 13:02 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ftp server datový port?
Tak to asi o bezpečnosti nic nevím. Vysvětlíš?
nutnost zdvojovat pravidla
To je ale i argument proti IPv4, to můžeš vypnout a pak máš pravidla jen jedna, pro IPv6 :-). A naopak ten zlatý NAT pravidla spíš komplikuje.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.