FTP server

Det kan være passive mode der er forkert sat op.
Det burde være det udengående IP og ikke serverens interne IP der stod der.

mht porten, så udregnes den således: 6*256 + 26 = 1562

Active eller passive mode, eller mulighet for begge deler det bestemmes jo sånn sett fra serveren. Når det gjelder den ip som event kommer opp, så ville jeg tro at det er rett nok at det er den lokale ip til serveren som kommer opp. Når det gjelder utregningen av portnumret så kjenner jeg ikke til utregningen av dette, men 1562 som returport, det kan vel stemme. (Hos meg så kan jeg se at det blir 2190 når jeg tester ut.)

For å kunne kjøre en ftp server så er det jo port 21 og event port 20 som skal forwardes i den enden av forbindelsen der serveren er. Når det gjelder i den annen ende, hos klienten, så skal ftp connection tracking (nat) i ruteren i klientenden sørge for å åpne for returporten. (I dette tilfellet 1562) Dette vil kunne variere litt med hvorvidt klienten er satt opp til å kjøre passive eller active mode.

Som den første enkle test så ville jeg forsøkt å skifte fra passive til active mode for ftp klientprogrammet. Et av de klientprogrammene der dette er mulig er så vidt jeg husker MS Explorer.

I følge "literaturen" så skal passive mode være mest firewall og routervennlig. Har dog opplevd det motsatte at det kun har vært active mode som vil kjøre.

Tror ellers ikke det vil hjelpe å sette opp noen forwarding på klientsiden, fordi jeg tror/mener at returporten ikke er en fast verdi, og at den kan variere. I så fall så måtte man vel forwarde en port range.

Det kunne jo sån  sett være interessant å vite hvilke routere som står på henholdsvis server og klientsiden.

Dersom klientsiden for eksempel skulle ha en Linux gateway der man ikke har lastet kernelmodulene for ftp connection tracking, så vil det være typisk at forbindelsen blir hengende når man forøker å kople opp mot en ekstern ftp server. (Dette gjelder dog ikke om man bruker gatewayen selv som ftp klient.)

Når der køres med passive mode (som er det mest brugte, og firewall venlige som langbein fremhæver), sender serveren en besked afsted til klienten om hvilken IP og port klienten skal lave den nye forbindelse til, til afsendelse af data. Porten vil ikke være den samme, da der bruges en ny for hver session.

I FTP opsætningen må der være en server IP setting, som kan sættes til den globale IP, for at klienter udefra kan lave forbindelsen til passive porten.

Hvis ikke der ønskes at køre med passive mode, skal port 20 åbnes som data port, ellers er den ligegyldig.

Om der vælges den ene eller den anden (eller begge metoder), skal ingen porte forwardes på klient siden.


Langbein, du skriver du selv har haft problemer med passive mode, som måske kan skyldes ovenstående, at server IP ikke er deklareret.

Port 20 er et misforstået begreb. Den bruges af serveren lokalt, når den opretter dataforbindelsen i aktiv mode. Dvs den skal aldrig åbnes for indgående forbindelser

I aktiv mode skal der vel åbnes nogle porte på klienten så serveren kan komme ind. En smart firewall gør dette dynamisk

http://slacksite.com/other/ftp.html

"Langbein, du skriver du selv har haft problemer med passive mode"

For å være helt ærlig så har jeg aldri forstått helt 100 % hvordan ftp egentlig har kjørt. Kan lese innholdet i linken over, men forsøkte å kjøre ftp forbindelsen over en packet sniffer / trafikk monitor noen ganger. Fikk faktisk ikke informasjonen i linken over til å stemme 100 %, men den gir vel i det minste et noenlunde inntrykk.

Den praktiske erfaringen, det er vel at åpner man for port 20 og 21 i inngående firewall, så virker det i alle fall. Åpner man for en av de så virker det en del ganger eller kanskje "vanlig vis".