Hjælp mig lige ud her

20

http://slacksite.com/other/ftp.html

Problemet med active og passive mode ftp er vel ikke hvilke porter som en i bruk men der i mot måten disse portene brukes på. Linken til loadet gir jo en ganske ok og bra beskrivelse av dette.

Passive mode:
1. reqest fra klient til server port 21.
2. svar til klient port > 1024
3. ny request fra klient til server til port > 1024
4. svar til klient, port > 1024.

Altså: i "passive mode" så er det klienten som er den "aktive part" og som setter opp trafikken.

Active mode:

1. request fra klient til port 21 på server.
2. svar fra server til port > 1024 på klient.
3. initiering av trafikk fra server til port > 1024 på klient.
4. svar fra klient til port 20 på server.

I steg 3 så er det vel 2 ting som ofte går feil i forbindelse med en nat forbindelse:
a. Nat router vet i utgangspunktet ikke hvilken klient den skal framsende ip pakken til.
b. Server setter opp trafikk på vilkårlig port > 1024, altså må nat router og klient tillate inngående trafikk på samtlige porter > 1024.

Mon det ikke blir slik ??

Svaret til lap blir jo sånn sett riktig med utgangspunkt i spørsmålet sin ordlyd. Teoretisk sett så skulle svaret fungere ut i fra følgende forutsetninger:

a. Endringen må settes opp i router og det vil bare være en klient som vil være i stand til å bruke ftp active mode. De andre kan ikke.
b. Det må være full åpning for all trafikk inn for hele portrangen fra 1024 til 65xx.

Ening ?? (Roter (og router) ofte med disse tingene så jeg synes det var greit med en oppsumering :-)

Men .... ved nærmere ettertanke .. hvis det jeg skriver over er riktig da er jo passive mode ut gjennom en nat router i praksis en tilnærmet umulighet ???!! (Har jeg da virkleig ikke brukt ftp active mode ut gjennom en nat router ???)

lap & loadet -> ser dere noe som ikke stemmer ?? Ble plutselig noe i tvil.

Merkelig .. på side 152 ..155 i Linux firewall, second edition (R Ziegler) så står det jo skrevet nesten det jeg sier over, tror jeg. Har lest om problemstillingen rundt active og passive mode ftp mange ganger, men har egentlig aldri skjønt at de prinsippene som gjelder gjør active mode og nat nesten til en nesten tilnærmet umulighet  ?? Forholder det seg virklig slik ??

Har aldri fått min ftp konto på en server som benytter active mode ftp til å fungere, skulle det kunne være så banalt at det er min nat connection både hjemme og på jobb som er årsaken ?????

Har testet litt og har i grunnen ikke helt vært i stand til å verifisere. Det som sker i komunikasjonstrinn 3 i active mode er vel forresten ikke det at det settes opp trafikk på port 20 slik som jeg selv faktisk tenkte. Det som skjer det er at det kommer to påfølgende svar fra server til klient i step 2 og step 3. Begge disse vil være rettet til en port større enn 1024. Det neste svaret vil være til en vikårlig portadresse høyere enn 1024 på klienten og her er det vel problemet ligger. Når det står 1027 i figuren så er vel dette bare et eksempel.

For Linux så hånteres denne problemstillingen ved at man laster inn en ekstra kernel modul som heter noe slikt som "ftp connection tracking". Mener at denne kan håntere problemstillingen rundt både active og passive mode.

Har et nettverk på jobb der hele trafikken passerer via en linux router. Vil forsøke å ta vekk ftp connection tracking modulet og se hva som skjer.

Det er vel ellers ikke riktig at problemet ligger i port 20 problematikken, for ved active mode så settes jo både port 20 og port 21 trafikken opp fra klienten. og i dette vil det jo ikke ligge noe problem.

Problemet er i stedet knyttet opp mot portintervallet 1024-65535 der server vil forsøke å sette opp et svar no 2 som step 3 i en samlet komunikasjonsdialog.

Enig ???!!