Konfigurasjon av FTP server

[HDSoftware]

Folkens. Jeg har satt opp en FTP server på en av serverene mine. Jeg bruker IIS i Win2008R2 til dette. Alt funker glitrende så lenge jeg er på LAN. Men så fort jeg kopbler til fra en ekstern kilde så streiker det. Selve autentiseringen fungerer, men det stopper på LIST. Ser at klienten sier jeg skal prøve PASSIVE, men det har jeg otså testet. Så sjekket jeg loggen på firewallen min og ser at FTP serveren prøver å nå ut til klienten på en anne port en 21 og da tenker jeg at her blir det liv og røre ;-)

 

Det er mange år siden sist jeg satte op en passive FTP server og husker at det var noe ordentlig rot. Trenger derfor litt hjelp her.

 

Jeg har sett om det er instillinger for passive port range i IIS, men av en eller annen grunn er dette valget disablet. Eneste jeg får gjøre er å sette IP til firewall. Det står også at jeg skal bruke "External IP Address of Firewall". Derfor har jeg satt vår public IP der.

 

En annen ting jeg tenker på her er, hva med klientene? Må de tukle i brannveggen sin? Det er nemlig uaktuellt og hvis så, kan jeg gjøre noe med det? Jeg har mange IP adresser jeg kan bruke, bør jeg kansje dedisere en IP til formålet?

[Topguy]

Skal kundene deres bare hente filer eller skal de laste opp filer også ?

 

Hvis de bare skal hente filer så må jo det å sette opp en web-server være mye mer hensiktsmessig. Og selv da går de jo ann å lage løsninger som støtter opplastning av filler. ( ikke spør meg hvordan )

 

FTP er rett og slett ikke egnet for dagens nettverks-arkitektur med brannmurer og NAT'ing.

[xcomiii]

For meg høres det ut som problemet ligger i brannmuren, ikke på serveren.

Hvilken type NAT er det som er satt opp i brannmur?

 

Ikke umulig at du må sette opp source NAT til serveren. Har FTP serveren en egen public IP, som ikke er den samme som LAN'et bruker? Eller er det samme IP?

[conundrum]

Det er mange år siden sist jeg satte op en passive FTP server og husker at det var noe ordentlig rot. Trenger derfor litt hjelp her.

FTP er en protokoll som trenger protokollstøtte (Application Layer Gateway) i NAT-routere. I hvilken ende man trenger støtten, avhenger av om man velger aktiv eller passiv FTP. Dersom dette mangler, er symptomet at man får opprettet forbindelsen og logget på, men LIST og filoverføringer feiler.

 

Aktiv FTP: Klienten kontakter serveren på TCP port 21 og oppretter en kommandoforbindelse. Når klienten ønsker å overføre en fil, sender den sin IP-adresse (og evt. et portnummer, default er 21) til serveren, og serveren oppretter så en dataforbindelse mot denne adressen/porten fra sin port 20. Klientens NAT-router må ha ALG for FTP, slik at IP-adressen og portnummeret i klientens PORT-kommando blir skrevet om.

 

Passiv FTP: Klienten oppretter kommandoforbindelsen på samme måte (port 21 på serveren), men oppretter også dataforbindelsen ved filoverføringer, mot en port angitt av serveren (i en PORT-kommando). Her er det router/brannmur på serversiden som trenger ALG for å endre parametrene i serverens PORT-kommando.

 

Som du ser vil passiv FTP mot en server med offentlig IP være det som gir minst problemer, og som vil fungere helt uten ALG i noen ender. Nå har alle hjemmeroutere hatt FTP ALG i mange år, men med et slikt oppsett kan man også problemfritt kjøre FTP-serveren på andre porter enn 21, noe en ALG vanligvis ikke klarer å håndtere uten konfigurering.

[HDSoftware]

Glimrende svar. og utfyllende. Visste en god del om dette med ALG var nytt for meg. Jeg har som nevnt 10 ledige IP adresser. Kansje jeg bare putter den rett på en av disse og setter FTP serveren i DMZ. Jeg får fundere litt til her. BTW - bruker MS ForeFront server som brannvegg og router.

[Dobbelkjernehjerne]

Jeg har ofte problemer med FTP på Windows-servere med Windows Firewall bak en perimeter-brannvegg. Hvis du installerer FileZilla FTP-server kan du definere en port-range for passiv FTP og åpne de samme portene i Windows Firewall, da skal det fungere.

 

Da bruker jeg en Linux-brannvegg med FTP connection-tracking (nf_conntrack_ftp)som perimeter-brannvegg. Hvis perimeter-brannveggen ikke har noe tilsvarende, må du åpne de samme portene i den.

 

Lykke til!

[HDSoftware]

takker