ftp och portar

Om du ansluter till en ftp-server som tex ligger bakom en brandvägg där bara port 21 är öppen (som i ditt fall gissar jag) så kan du ställa in ftp-klienten att ansluta via PASV (passivt läge).

Vad som händer är att när klienten ansluter till servern så skickar servern tillbaka svaret på en port ovanför 1024 (kan vara vilken som helst beroende på server). Klienten svarar sedan på svarsporten som den blivit tilldelad av servern. I vanliga fall ett nummer högre än servern svarade på. Så här fortsätter det för varje förfrågan och svar.
Detta innebär i sin tur att om en brandvägg är aktiverad att spärra allt som man inte utryckligen öppnat så kommer den att spärra konversationen mellan server och klient.

Ställer du istället in klienten att ansluta via PASV så är det servern som måste anpassa sig utifrån klientens önskemål. Det brukar innebära att all kommunikation sker på port 21. Det är det här läget som alla browsers ansluter via när man kör ftp via dem.
PASV är mer kompatibelt, och är nästan alltid ett krav om klienten eller servern står bakom en brandvägg. Däremot är det lite osäkrare om man är rädd att någon avlyssnar trafiken. Säkerheten blir större om man byter port för varje förfrågan.

Om däremot BÅDE kient och server står bakom en brandvägg så kan det bli problem. I vissa fall går det inte att ansluta alls. Detta kan vara relaterat till vilken server-klient kombination som man använder. Jag har stött på det någon gång.

Då kan man ju haka på med en fråga. Jag har aldrig blivit klok på hur man ställer in så att ftp-servern som följer med X kör i passive mode som förstahandsval. Utgår från att man måste hänga på en flagga i /etc/inetd.conf, men vilken, om det nu går?

Det är ingen större risk att ha de portarna öppna gämfört med några andra portar.

Om du istället ser till att dina användare ansluter via PASV så slipper du ha dem öppna över huvud taget.

Det är ju, som jag skrev ovan, så att portnummret ökar ett steg för varje förfrågan. Har du en användare som klickar runt ett tag så tar det ju slut på portar om inte alla är öppna på datorn.

Värt att tänka på...

Om jag har förstått det rätt så ligger ansvaret på klienten att begära PASV. Inte servern.

Jag kan ha fel. Rätta mig isåfall.

Jag har helt enkelt utgått från att man kan ställa in så att passive är default, för en kompis berättade att det var vad han körde på sin linuxburk. Men om det inte går så går det inte. Men man kanske kan byta ftpd mot någon annan server som klarar det -- om det nu finns någon.

Nej, du kommer inte att hitta någon ftpd som man kan ställa in PASV som default. Det är, som Kalle W mycket riktigt säger, upp till ftp-klienten att välja aktiv eller passiv mode. Och det är också i klienten som det brukar finnas en inställning för att välja passiv som standard.

Ser ut tex såhär i inställningarna på Fetch

Kanske någon klokskalle kan förklara det här för mig:

Vi har en NT-server med war-ftpd på. Jag har öppnat port 21 i brandväggen för den. Men jag läste någonstans att passive mode använde även port 20 så jag öppnade även den. Det som hände då var att jag inte längre kom in med PASV på. Men om jag stänger port 20 så går det bra. Vad beror detta på?