FTP/SSL в пассивном режиме с portrange, какие порты должны быть открыты на брандмауэре?

Slacksite имеет хорошее объяснение того, как FTP работает в активном по сравнению с пассивным режимом, и категорическая информация о поведении передачи данных находится в RFC 4217, § 7.

В основном принятие Ваших клиентов использует пассивный режим и явный SSL (например, подключения на порте управления 21 вместо 990 для неявного SSL), необходимо было бы позволить входящие соединения с портом управления 21 и 5 портов данных от любых клиентов высокий диапазон портов к серверу и исходящие пакеты установленного соединения от соответствующих портов до случайных высоких портов. Активный FTP обычно является не хорошей идеей, поскольку сервер попытается активно открыть соединение с клиентом, который большую часть стороны клиента брандмауэры с сохранением информации не разрешат если не настроенный соответственно.

Обычно, явные "активные" FTPS порт 990, и порт управления 989. Пассивный совпадает с активный, но просто означает, что в дополнение к 989 Вы используете несколько портов по 1024 + диапазон, открытый на сервере (чтобы клиент инициировал передачу данных), в зависимости от того, как Вы настроили свой сервер.

Лично я предпочитаю использовать ПУСТОЙ FTP-сервер, выполнять неявный SFTP на порте 22 и просто иметь единственную реализацию порта.

Используйте wireshark http://www.wireshark.org/ и хост вне брандмауэра для наблюдения, какие порты используются этой конкретной конфигурацией FTP+SSL.

На основе трафика Вы видите, создаете правила брандмауэра позволить такой трафик от IP-адреса FTP-сервера.

Проблема с FTPS состоит в том, что все обходные решения, которые брандмауэры реализовали для обработки работы странности протокола FTP больше. Это вызвано тем, что брандмауэр не может осмотреть зашифрованное соединение для динамичного открытия требуемых портов.

Это сказало: диапазон портов, который Вы настроили для пассивного FTP в программном обеспечении сервера, должен быть открыт от клиента серверу. Кроме того, клиент должен знать, что это должно использовать пассивный режим. У меня было свое первое развертывание FTPS в прошлые недели, и оно работает точно как этот.

(Что это с возрождением FTPS в последнее время? FTP является архаичным кошмаром 1970-х протокола и ради человечества, люди должны действительно избегать его, зашифрованный или нет.)

Да, у FTPS большие проблемы с использованием портов. Он модифицировал шифрование на протоколе FTP, который был разработан для сети без брандмауэров и черных шляп.

Однако SFTP имеет значительные проблемы с производительностью с большими файлами и большими задержками (или соединениями на большие расстояния). Поэтому, поскольку увеличение пропускной способности позволяет передавать большие файлы, ограничения SSH/SFTP становятся более значительными, и FTPS является единственной другой альтернативой.