[FTP] - Ftp client dietro firewall

[metalgalle]

Come da titolo: ho un client ftp sul pc, ma sono in una lan dove sul gateway è installato un firewall con aperte solo le porte canoniche (x l'ftp 20,21), ma nè IE nè flashget scaricano files via FTP e tantomeno i software client FTP (ex smartFTP o cuteFTP) funzano, mi effettuano corretamente il login e niente altro poichè tentano di lavorare su altre porte con valori casuali (ex. 2534 4848 ecc).
Il bello è che tramite l'utility ftp del prompt dei comandi (windows xp pro) va tutto bene, ma è scomodissima da usare ...

Come posso evitare che i vari software che sfruttano l'ftp vadano ad interpellare porte non canoniche? Oppure, posso forzare i suddetti sw ad utilizzare 1 porta non canonica che decido io e quindi che aprirò sul firewall?

Gracias.

[metalgalle]

Riporto per completezza la configurazione del firewall:

- porte 20,21 ip locale accettare tutti i pacchetti TCP e UDP in ingresso ed in uscita a qualsiasi ip e porta

- porte 20,21 qualsiasi ip pubblico accettare tutti i pacchetti TCP e UDP in ingresso ed in uscita a ip privato qualsiasi porta

In sostanza sono accettati tutti i pacchetti che abbiano almeno un riferimento alle porte 20 o 21 che sia in ingresso o in uscita e che sia presso l'ip pubblico o privato non importa.

Non funza un casso...

[metalgalle]

Obliavo.... se sono OT spostatemi nella sezione + adeguata.

Ciauz

[Martin]

Ti sposto in Sicurezza, mi pare più adatto

[Habanero]

in genere questi problemi sono dovuti all'uso della modatlità attiva che prevede che il server spedisca i dati richiesti su una porta aperta casulamente dal client. Questa apertura è in genere bloccata sul firewall.
Molto strano che l'FTP da riga di camando funzioni perchè anch'essa normalmente usa di default la motalità attiva...

In ogni caso per risolvere il problema prova a trovare l'opzione nel tuo client per impostare la modalità PASSIVA...

Per IE leggi questo:
http://support.microsoft.com/?kbid=309816

[metalgalle]

Originariamente inviato da Habanero
in genere questi problemi sono dovuti all'uso della modatlità attiva che prevede che il server spedisca i dati richiesti su una porta aperta casulamente dal client. Questa apertura è in genere bloccata sul firewall.
Molto strano che l'FTP da riga di camando funzioni perchè anch'essa normalmente usa di default la motalità attiva...

In ogni caso per risolvere il problema prova a trovare l'opzione nel tuo client per impostare la modalità PASSIVA...

Per IE leggi questo:
http://support.microsoft.com/?kbid=309816

Esattamente l'opposto: con il passive non funza, con l'active funza.

Passive mode FTP clients also start by establishing a connection to TCP port 21 on the FTP server to create the control channel. When the client sends a PASV command over the command channel, the FTP server opens an ephemeral port (between 1024 and 5000) and informs the FTP client to request data transfer from that port. The FTP server responds to the request by using the ephemeral port as the source port for data transfer. When this occurs, the FTP server does not need to establish a new inbound connection to the FTP client.

[Habanero]

Molto molto strano... questa non l'avevo proprio mai vista....
mai sei proprio sicuro che funzioni in modalità attiva e non in passiva?
Guarda che in genere molti client usano di default la modalità attiva.
IE di default usa la modalità attiva!!!!

[tia86]

Non mi pare strano che abbia problemi con l'ftp passivo.
Infatti l'ftp passivo è sempre stato un problema in quanto a sicurezza.
Il problema è che il client si connette al server usando una porta casuale e lo stesso server sta in ascolto su una porta casuale. Usando come politica di firewalling una cosa come:

- faccio passare le connessioni www (http,pop3,smtp...)
- blocco tutte le altre

l'ftp passivo viene inesorabilemnte bloccato, in quanto non posso sapere a priori con che porta il client si connetterà al server e non posso sapere con quale porta il server starà in ascolto.

Usando iptables come firewall ci sono alcuni moduli (ftp_conntrack) che si preoccupano di gestire queste situazioni (sia ftp passivo che ftp attivo)


Nel tuo caso il firewall non riesce a gestire l'ftp passivo, l'unica sarebbe aprire un range di porte, ma è insicuro

[Habanero]

ok, un filtro in uscita quindi...

[metalgalle]

Originariamente inviato da Habanero
Molto molto strano... questa non l'avevo proprio mai vista....
mai sei proprio sicuro che funzioni in modalità attiva e non in passiva?
Guarda che in genere molti client usano di default la modalità attiva.
IE di default usa la modalità attiva!!!!

Ed invece è così: nonappena imposto su un qualsiasi client ftp o IE la modalità passiva (PASV) l'unica cosa che viaggia è il login e l'autenticazione, ma poi il trasferimento dati crolla inesorabilmente.

Usando iptables come firewall ci sono alcuni moduli (ftp_conntrack) che si preoccupano di gestire queste situazioni (sia ftp passivo che ftp attivo)

Esatto, ma visto che il firewall non è dedicato, ma integrato nel router e offre solo packet filtering...

La domanda sorge spontanea, in soldoni che differenza c'è ad utilizzare l'ftp passivo o attivo?