Какие порты брандмауэра я должен открыть при использовании FTPS?
У Вас должны быть резервные планы.
Существенные системы должны быть разработаны или с автоматической обработкой отказа или с зарегистрированным и протестированным планом восстановления.
Чем более важный система, тем больше устойчивости необходимо создать в и более автоматическое, которым это должно быть.
Если Вы не имеете один, то это, не было важно, было это!
Мое понимание FTP по SSL (ftps) - то, что он не работает хорошо с брандмауэрами и NAT. На обычном сеансе FTP информация о соединениях данных читается, и из измененного NAT, брандмауэром для брандмауэра для динамичного открытия необходимых портов. Если та информация защищается SSL, брандмауэр не может считать его или изменить его.
Используя SFTP или scp, делает задание администратора сети намного легче - все происходит на порте сервера 22, и транзакция следует нормальной клиент-серверной модели.
Одна вещь, не упомянутая, состоит в том, выполняет ли Ваш брандмауэр NAT и является ли это статическим NAT или динамическим NAT. Если Ваша клиентская машина имеет статический адрес или является статически NATed, Вы, возможно, не должны вносить любые изменения брандмауэра, предполагая разрешение всего исходящего трафика, и сервер работает только в режиме Passive (PASV).
Для знания точно, какие порты необходимо будет открыть Вы должны будете также:
a) говорите с поставщиком для получения специфических особенностей о том, как их система была настроена.
b) Используйте протокол анализатор, такой как tcpdump или wireshark, для рассмотрения трафика, и снаружи брандмауэра и в брандмауэре
Необходимо узнать, какой порт является Соединением Управления. Вы перечисляете 3, который кажется нечетным мне. Принятие сервера только работает в PASV (пассивный) режим, необходимо выяснить, как сервер настроен к выделенным Портам данных. Они заблокировали вниз Канал передачи данных к единственному входящему порту? Они заблокировали вниз Канал передачи данных к маленькому диапазону или портам?
С этими ответами можно начать настраивать брандмауэр.
-
1пассивный режим FTPS использовал бы порт управления по port# 1024 и таким образом, он будет работать лучше с брандмауэром, чем непассивный. клиент говорит порт 21, какой порт верхней границы открыть и таким образом, можно настроить клиент для высказывания " управление находится на порте 2000 или 2001" и затем сервер откроет исходящий порт 2000 или 2001. большинство клиентов FTP поддерживает определение определенного диапазона портов для " control" для хождения и это делает определения брандмауэра легкими. – djangofan 24 August 2009 в 19:12
Я верю портам, которыми приблизительно 990 были для неявного SSL, который был старым нестандартным способом сделать FTP/SSL. "Правильным" путем в эти дни является явный SSL, что означает, что Вы все еще соединяетесь на порте 21 и затем согласовываете SSL прежде, чем отправить Ваших положительных героев. Для поддержки соединений через брандмауэр необходимо использовать режим PASV и трудно установить порты данных, которые будут использоваться.
Я полагаю, что Вам нужен по крайней мере один порт на передачу данных, которую Вы хотите поддерживать. Если это - просто Вы, Вы, вероятно, в порядке только открытие несколько дополнительных портов. Специально для меня я использую 21000-21010.
В vsftpd.conf у меня есть эти две строки (наряду со всеми другими материал для поддержки SSL):
pasv_min_port=21000
pasv_max_port=21010
На моем брандмауэре у меня есть общедоступный статический IP с one-to-one/static NAT к внутреннему IP и только tcp порты 21, 21000-21010 открытых.
Поставщик может настраивать узкий диапазон портов для портов Передачи данных, если они уже не имеют. Затем можно открыть тот же диапазон на конце для хостов, которым нужен такой доступ. Режим PASV должен использоваться.
если ftps совпадают с sftp, то только необходимо смочь к порту доступа 22 на сайте поставщика.
На Вашем конце необходимо настроить брандмауэр, чтобы позволить порту 22 выхода и связанный входящий трафик. Это позволит коммуникацию на любом входящем порте, который связан с начальным исходящим соединением на порте 22.
-
1SFTP не является тем же как ftps ( codeguru.com/csharp/.net/net_general/internet/article.php/… ). SFTP является протоколом передачи файлов, используемым с SSH. FTPS является FTP с SSL, FTPS запускает новую Передачу данных на новом случайном порте, который делает жестким развернуться позади брандмауэров, но меня can' t удаляют брандмауэр в этой ситуации. – 21 May 2009 в 18:33
-
2Извините затем. Я покину этот пост, хотя, в случае, если у других есть тот же беспорядок. – Brent 21 May 2009 в 18:54
-
3It' s чрезвычайно общий беспорядок. Со стороны брандмауэра sftp является путем, легче позволить, за исключением того, что it' s основывался на протоколе, который предназначается для доступа входа в систему. Небрежный, чтобы независимые группы безопасности позволили без значительной независимой проверки. Трудный для системных администраторов найти/настроить разумный sftp сервер для недоверяемых клиентов. Любое обсуждение sftp или ftps должно упомянуть другой протокол, потому что беспорядок ТАК распространен. – carlito 29 June 2009 в 08:16
В основном ftps почти бесполезны, потому что необходимо выполнить смущающие запросы администраторам брандмауэра. Совет ограничить порты 10 хорош. Намного больше это становится вызывающим жалость.
sftp намного лучше в теории. Но Вам нужен жизнеспособный sftp сервер, например, тот, который ограничивает клиенты их собственным корневым каталогом.
В зависимости от приложения рассмотрите HTTPS. Загрузка файла действительно проста, и загрузка, очевидно, также. При сценариях FTP так или иначе, вероятно, будет легче в целом написать сценарий загрузки файла HTTPS.
Автоматизированный FTP является знаком проблемы проектирования. Я заметил это при контакте с в общей сложности приблизительно дюжиной поставщиков, которые 'потребовали' места, я работал, чтобы сделать автоматизированный FTP (для ОЧЕНЬ важных вещей), и когда делающие десятки клиентов делают это с тем же самым магазином (отказ дизайна приблизительно для 20 отличного использования, я засвидетельствовал). Было легко убедить большинство парней приложения использовать HTTPS (обычно при упоминании, они сказали, "ожидают, нет никакой причины, мы только сделали, чтобы они получили его с HTTPS от веб-сервера, по которому мы уже служим им данные?"), кроме некоторых, которые дали ответы как "хорошо, у нас уже есть эти сценарии, которые, кажется, работают, и никто в нашей команде не действительно хорош со сценариями, таким образом, мы наклоняемся, действительно вносят любые изменения" (команда 5-10 программистов, симулируя не понимать, что они могут записать это на языке их выбора, потому что они не знают, как записать тривиальную программу с нуля.).
Порт 22 является стандартным, так как у демона SSH на UNIX есть модуль SFTP, который можно включить, чтобы в основном сделать явный сервер SFTP. Если Вы хотите выполнить неявный FTP-сервер с Filezilla затем, можно выполнить его на любом порте, который Вы хотите, но существует выгода: при использовании клиента FileZilla, необходимо указать URL FTP-сайта как ftps://mysite.com:8086 вместо того, чтобы поместить порт в поле отдельного порта, которое обеспечивает клиент FileZilla.
Для явной опции Вам только нужен ОДИН порт: 22. Для неявной опции у Вас только должен быть брандмауэр, открытый для порта управления: 8086 (который вперед внутренне можно портировать 21 на Вашем filezilla сервере).
Я знаю, что это очень старый поток, однако ..
Обратите внимание, что SFTP полностью отличается от FTPS. (SSH против SSL)
FTPS работает двумя способами. Явное и неявное. Явный менее безопасен, поскольку после первоначального рукопожатия пропускается шифрование во время передачи данных [если шифрование данных поддерживается, это можно настроить на стороне сервера с помощью PROT P],в то время как Implicit сохраняет шифрование данных и после рукопожатия. Явный порт FTPS по умолчанию - 21. Неявный порт по умолчанию - 990 (после подтверждения он автоматически переключится на 989 для передачи данных, если не настроен иначе). Хотя порт 21 обычно принимается как ЯВНЫЙ FTPS, а 990 - как ПОДРАЗУМЕВАЕМЫЙ FTPS, в действительности, какой бы порт вы ни настроили, кроме 990/989, это приведет к ЯВНОМУ FTPS, в то время как ТОЛЬКО 990/989 будет принят как ПОДРАЗУМЕВАЕМЫЙ FTPS.
Итак, чтобы ответить на ваш вопрос: - в зависимости от конфигурации сервера FTPS вам необходимо открыть порт 21 или 990/989. Однако на всякий случай вам следует связаться с администратором сервера FTPS и спросить дорогу. Кроме того, имейте в виду, что для пассивного режима, как и для любого другого программного обеспечения FTP, вам придется открывать дополнительные порты (TCP / UDP), обычно что-то из диапазона 64000-65000.