ฉันต้องการเข้าถึงเซิร์ฟเวอร์ FTPS (vsftpd) บนเว็บไซต์ของผู้ขาย ผู้ขายมีไฟร์วอลล์อยู่หน้าเซิร์ฟเวอร์ ftps ฉันมีไฟร์วอลล์หน้า FTPS ไคลเอ็นต์ของฉัน
ฉันเข้าใจว่าพอร์ต 990, 991 และอาจต้องเปิด 989 เพื่อควบคุมทราฟฟิก
ฉันมีคำถาม:
คำตอบ:
ความเข้าใจของฉันเกี่ยวกับ FTP ผ่าน SSL (ftps) คือมันใช้งานไม่ได้กับไฟร์วอลล์และ NAT ในเซสชัน FTP ทั่วไปข้อมูลเกี่ยวกับการเชื่อมต่อข้อมูลจะถูกอ่านและสำหรับการแก้ไข NAT โดยไฟร์วอลล์เพื่อให้ไฟร์วอลล์เปิดพอร์ตที่จำเป็นแบบไดนามิก หากข้อมูลนั้นปลอดภัยโดย SSL ไฟร์วอลล์จะไม่สามารถอ่านหรือเปลี่ยนแปลงได้
การใช้ SFTP หรือ scp ทำให้งานของผู้ดูแลระบบเครือข่ายง่ายขึ้นมาก - ทุกอย่างเกิดขึ้นที่พอร์ตของเซิร์ฟเวอร์ 22 และการทำธุรกรรมเป็นไปตามรูปแบบไคลเอนต์ / เซิร์ฟเวอร์ปกติ
สิ่งหนึ่งที่ไม่ได้กล่าวถึงคือไฟร์วอลล์ของคุณกำลังทำงาน NAT อยู่หรือไม่และมันเป็น static NAT หรือไดนามิก NAT หากเครื่องไคลเอนต์ของคุณมีที่อยู่แบบคงที่หรือกำลัง NATAL แบบคงที่คุณอาจไม่จำเป็นต้องทำการเปลี่ยนแปลงไฟร์วอลล์ใด ๆ โดยสมมติว่าคุณอนุญาตการรับส่งข้อมูลขาออกทั้งหมดและเซิร์ฟเวอร์ทำงานในโหมดพาสซีฟ (PASV) เท่านั้น
หากต้องการทราบว่าคุณจะต้องเปิดพอร์ตใดคุณจะต้อง:
a) คุยกับผู้ขายเพื่อรับข้อมูลเฉพาะเกี่ยวกับวิธีการกำหนดค่าระบบของพวกเขา
b) ใช้ตัววิเคราะห์โปรโตคอลเช่น tcpdump หรือ wireshark เพื่อดูทราฟฟิกทั้งจากภายนอกไฟร์วอลล์ของคุณและภายในไฟร์วอลล์ของคุณ
คุณจำเป็นต้องค้นหาว่าพอร์ตใดคือส่วนควบคุมการเชื่อมต่อ คุณรายการ 3 ซึ่งดูเหมือนแปลกสำหรับฉัน สมมติว่าเซิร์ฟเวอร์ใช้งานได้ในโหมด PASV (พาสซีฟ) เท่านั้นคุณต้องหาวิธีกำหนดค่าเซิร์ฟเวอร์ไปยังพอร์ต DATA ที่จัดสรรไว้ พวกเขาล็อคแชนเนล DATA ลงในพอร์ตขาเข้าเดียวหรือไม่ พวกเขาล็อคแชนเนล DATA ลงในช่วงเล็ก ๆ หรือพอร์ตหรือไม่?
ด้วยคำตอบเหล่านี้คุณสามารถเริ่มกำหนดค่าไฟร์วอลล์ของคุณ
ฉันเชื่อว่าพอร์ตประมาณ 990 นั้นใช้สำหรับ SSL โดยนัยซึ่งเป็นวิธีที่ไม่ได้มาตรฐานในการทำ FTP / SSL วิธี "ถูกต้อง" ในวันนี้คือ SSL ที่ชัดเจนซึ่งหมายความว่าคุณยังคงเชื่อมต่อที่พอร์ต 21 จากนั้นจึงต่อรอง SSL ก่อนที่จะส่งสารพัดของคุณ เพื่อรองรับการเชื่อมต่อผ่านไฟร์วอลล์คุณต้องใช้โหมด PASV และตั้งค่าพอร์ตข้อมูลที่จะใช้อย่างหนัก
ฉันเชื่อว่าคุณต้องการอย่างน้อยหนึ่งพอร์ตต่อการเชื่อมต่อข้อมูลที่คุณต้องการสนับสนุน หากเป็นเพียงคุณคุณอาจเปิดพอร์ตเพิ่มเติมได้ไม่กี่แห่งเท่านั้น โดยเฉพาะสำหรับฉันฉันใช้ 21000-21010
ใน vsftpd.conf ฉันมีสองบรรทัดนี้ (รวมถึงสิ่งอื่น ๆ ทั้งหมดเพื่อสนับสนุน SSL):
pasv_min_port=21000
pasv_max_port=21010
บนไฟร์วอลล์ของฉันฉันมี IP แบบสแตติกสาธารณะที่มี NAT แบบหนึ่งต่อหนึ่ง / แบบคงที่กับ IP ภายในและเปิดพอร์ต TCP เท่านั้น 21, 21000-21010 เปิด
ฉันรู้ว่านี่เป็นเธรดที่เก่าแก่ที่สุดอย่างไรก็ตาม ..
โปรดทราบว่า SFTP นั้นแตกต่างจาก FTPS อย่างสิ้นเชิง (SSH กับ SSL)
FTPS แย่ลงใน 2 ทาง ชัดเจนและโดยปริยาย ความชัดเจนน้อยกว่าความปลอดภัยเนื่องจากหลังจาก handshake เริ่มต้นกระโดดข้ามการเข้ารหัสระหว่างการถ่ายโอนข้อมูล [หากการเข้ารหัสข้อมูลถูกเก็บรักษาไว้ที่ฝั่งเซิร์ฟเวอร์ด้วย PROT P] ในขณะที่ Implicit เก็บการเข้ารหัสของข้อมูลหลังจากการจับมือกัน พอร์ต FTPS อย่างชัดเจนเริ่มต้นคือ 21 พอร์ตเริ่มต้นโดยปริยายคือ 990 (หลังจากจับมือมันจะเปลี่ยนเป็น 989 โดยอัตโนมัติสำหรับการส่งข้อมูลหากไม่ได้กำหนดค่าแตกต่างกัน) ในขณะที่พอร์ต 21 ได้รับการยอมรับโดยทั่วไปว่าเป็น EXPLICIT FTPS และ 990 เป็น IMPLICIT FTPS ในความเป็นจริงแล้วแต่ว่าพอร์ตใดที่คุณจะกำหนดค่ายกเว้น 990/989 จะนำไปสู่ EXPLICIT FTPS ในขณะที่ 990/989 เท่านั้นจะยอมรับเป็น IMPLICIT FTPS
ดังนั้นเพื่อตอบคำถามของคุณ: - ขึ้นอยู่กับการกำหนดค่าเซิร์ฟเวอร์ FTPS คุณจะต้องเปิดพอร์ต 21 หรือ 990/989 อย่างไรก็ตามเพื่อให้แน่ใจว่าคุณควรติดต่อผู้ดูแลระบบเซิร์ฟเวอร์ FTPS และสอบถามเส้นทาง โปรดทราบว่าสำหรับโหมดพาสซีฟเช่นเดียวกับซอฟต์แวร์ FTP อื่น ๆ คุณจะต้องเปิดพอร์ตเพิ่มเติม (TCP / UDP) โดยทั่วไปจะอยู่ในช่วง 64,000-65000
โดยทั่วไป ftps แทบไร้ประโยชน์เนื่องจากคุณต้องส่งคำขอที่น่าอับอายให้กับผู้ดูแลระบบไฟร์วอลล์ คำแนะนำในการ จำกัด พอร์ตที่ 10 เป็นสิ่งที่ดี ยิ่งกว่านั้นมันน่าสมเพช
SFTP นั้นดีขึ้นมากในทางทฤษฎี แต่คุณต้องใช้เซิร์ฟเวอร์ SFTP ที่ทำงานได้เช่นเซิร์ฟเวอร์ที่ จำกัด ลูกค้าไปยังไดเรกทอรีบ้านของตนเอง
พิจารณา HTTPS ขึ้นอยู่กับแอปพลิเคชัน การอัปโหลดไฟล์นั้นง่ายมากและการดาวน์โหลดก็เห็นได้ชัดเช่นกัน หากคุณกำลังเขียนสคริปต์ FTP อยู่อาจเป็นการง่ายกว่าที่จะสคริปต์อัพโหลดไฟล์ HTTPS
FTP อัตโนมัติเป็นสัญลักษณ์ของปัญหาการออกแบบ ฉันสังเกตเห็นสิ่งนี้เมื่อจัดการกับผู้ขายรวมประมาณโหลที่ 'ต้องใช้' สถานที่ที่ฉันทำงานเพื่อทำ FTP อัตโนมัติ (สำหรับสิ่งที่สำคัญมาก) และเมื่อลูกค้าหลายสิบคนทำกับร้านเดียวกันนั้น (ความล้มเหลวในการออกแบบเกี่ยวกับ 20 การใช้งานที่แตกต่างที่ฉันเห็น) เป็นเรื่องง่ายที่จะโน้มน้าวให้แอปส่วนใหญ่ใช้ HTTPS (โดยปกติแล้วพวกเขาพูดว่า "รอไม่มีเหตุผลที่เราไม่เพียงแค่ให้พวกเขารับ HTTPS จากเว็บเซิร์ฟเวอร์ที่เราให้บริการข้อมูลแล้ว" ) ยกเว้นบางส่วนที่ให้คำตอบเช่น "ดีเรามีสคริปต์เหล่านี้ที่ดูเหมือนจะใช้ได้แล้วและไม่มีใครในทีมของเราเก่งเรื่องการเขียนสคริปต์ดังนั้นเราจึงไม่สามารถทำการเปลี่ยนแปลงใด ๆ ได้" (ทีมงานของโปรแกรมเมอร์ 5-10 คน
ผู้ขายอาจสามารถกำหนดค่าช่วงพอร์ตแคบสำหรับพอร์ตการเชื่อมต่อ DATA ถ้าพวกเขายังไม่ได้ จากนั้นคุณสามารถเปิดช่วงเดียวกันในตอนท้ายของคุณสำหรับโฮสต์ที่ต้องการการเข้าถึงดังกล่าว ควรใช้โหมด PASV
พอร์ต 22 เป็นมาตรฐานเนื่องจาก SSH daemon บน UNIX มีโมดูล SFTP ที่คุณสามารถเปิดใช้งานเพื่อสร้างเซิร์ฟเวอร์ SFTP อย่างชัดเจน หากคุณต้องการเรียกใช้เซิร์ฟเวอร์ FTP โดยนัยด้วย Filezilla คุณสามารถรันบนพอร์ตใดก็ได้ที่คุณต้องการ แต่มีการตรวจจับ: หากคุณใช้ไคลเอนต์ FileZilla คุณต้องระบุ URL ไซต์ ftp เป็น ftps: //mysite.com: 8086 แทนที่จะวางพอร์ตในฟิลด์พอร์ตแยกต่างหากที่ไคลเอนต์ FileZilla มีให้
สำหรับตัวเลือกที่ชัดเจนคุณจะต้องมีหนึ่งพอร์ต: 22 สำหรับตัวเลือกโดยปริยายคุณจะต้องเปิดไฟร์วอลล์สำหรับพอร์ตควบคุม: 8086 (ซึ่งจะส่งต่อไปยังพอร์ต 21 บนเซิร์ฟเวอร์ filezilla ของคุณภายใน)
ถ้า ftps เหมือนกันกับsftpคุณจะต้องสามารถเข้าถึงพอร์ต 22 บนเว็บไซต์ของผู้ขายได้
ในส่วนของคุณคุณควรกำหนดค่าไฟร์วอลล์ของคุณเพื่อช่วยให้พอร์ต 22 ขาออกและที่เกี่ยวข้องกับการจราจรขาเข้า วิธีนี้จะช่วยให้สามารถสื่อสารกับพอร์ตขาเข้าใด ๆ ที่เกี่ยวข้องกับการเชื่อมต่อขาออกเริ่มต้นในพอร์ต 22