Problem with ftp server

[Christos Ricudis]

panagiotis takis_rs wrote:
>
> on 01/10/2009 05:21 PM panagiotis takis_rs wrote the following:
>
>     Το έχω κλείσει το firewall για τις δοκιμές. Αλλά τίποτα!!
>

Tο'χετε ξεχεσει κανονικα ομως.

48 fucking mails για το πιο παλιο και πασιγνωστο ζητημα του FTP απο 
καταβολης NAT, δηλαδη περιπου πριν απο 20 χρονια.

Τοσο παλιο και πασιγνωστο που θα ειχε προφανως λυθει με λιγη κοινη 
λογικη, πεντε λεπτα googling και δεκα λεπτα διαβασμα.

Λοιπον.

Το FTP λειτουργει ως εξης :

CASE 1, active mode :

Client                                            Server
(A.B.C.D)                                         (E.F.G.H)

Hello, I'm an FTP client

                                                  Welcome.

I want the file koko.zip.
Connect to A.B.C.D, port Z and
please send it to me.

                                                  Will do.
                                                  (server connects to 
A.B.C.D port Z, sends data)
                                                   

CASE 2, passive mode :

Client                                            Server
(A.B.C.D)                                         (E.F.G.H)

Hello, I'm an FTP client

                                                  Welcome

I want the file lala.zip, I'm using
passive mode FTP

                                                  Fine, connect to 
E.F.G.H port Z, and you'll get it!

Thanks!
(client connects to E.F.G.H port Z, receives data)


Αν τωρα βαλουμε ενα firewall που κοβει πορτες - η ακομα χειροτερα ενα 
NAT που τους αλλαζει τα φωτα - μεταξυ client και server, προκυπτει το 
προβλημα - οχι μονο με το FTP, αλλα και με οποιοδηποτε αλλο πρωτοκολλο 
κανει encapsulate IP addresses στο application-layer protocol (αλλα 
κλασσικα παραδειγματα ειναι το IRC DCC, το H323, το SIP, κτλ κτλ), οτι 
θα πρεπει το Firewall η το NAT device που καθεται στη μεση της 
συνομιλιας, να κανουν intercept τη συζητηση και ειτε να ανοιξουν 
αυτοματως τα καταλληλα ports, ειτε μεχρι και να ΑΛΛΑΞΟΥΝ τις IP 
διευθυνσεις που ανταλλασουν μεταξυ τους οι FTP server/client (στην 
περιπτωση του NAT).

Συγκεκριμενα, ο λογος για τον οποιο αναπτυχθηκε το passive mode FTP, που 
πλεον ειναι default στους περισσοτερους FTP clients, ειναι οτι θεωρηθηκε 
- και ορθως - οτι αφενος το NAT θα βρισκεται τις περισσοτερες φορες στη 
μερια του client και οχι στη μερια του server, αφετερου οτι στη μερια 
του server ειναι πιο ευκολο διαχειριστικα να τεθουν τα σωστα firewall 
policies, μια που εκει υπαρχουν περισσοτερες πιθανοτητες να βρισκεται 
καποιος που ξερει τι κανει.

Ξεχνας λοιπον ΤΕΛΕΙΩΣ τα settings του FTP server σου, και επικεντρωνεσαι 
στο routerακι - γιατι αυτο ειναι που κανει NAT και firewalling - το 
οποιο routerακι καπου εχει μια αναλογη επιλογιτσα για να επιτρεπει τη 
λειτουργια FTP servers που βρισκονται απο πισω του. Αν τυχαινει - που 
μαλλον τυχαινει - να εχεις speedtouch, ειναι λιγο ζορικη περιπτωση, 
γιατι αναλογως με το μοντελο μπορει και να τρεχει ενα δικο του FTP 
server που δεχεται connections και απ'εξω και μπλεκεται στα ποδια σου. 
Απενεργοποιησε το. Ρυθμισε το port forwarding για τις πορτες 20 και 21. 
Διορθωσε τυχον firewall που τρεχει στον FTP server και που πιθανως κι 
αυτο να μπλεκεται στα ποδια σου. Απενεργοποιησε τυχον port filtering που 
κανει ο ISP σου. Μετα απο αυτα, ΤΟΥΛΑΧΙΣΤΟΝ το passive-mode FTP θα 
πρεπει να λειτουργει.