Я установил ProFTPd на Amazon EC2 под управлением Amazon Linux.
Я включил SSL (FTPS) для ProFTPd и установил пассивные порты в proftpd.conf:
port 21
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol TLSv1.2
TLSCipherSuite AES128+EECDH:AES128+EDH
TLSOptions NoCertRequest AllowClientRenegotiations
TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key.pem
TLSVerifyClient off
TLSRequired on
RequireValidShell no
</IfModule>
MasqueradeAddress ip-of-my-server
PassivePorts 60000 65535
Пользователи могут подключаться через порт 21, если я открою TCP-порты с 60000 по 65535 в группе безопасности, связанной с этим экземпляром, но мне это небезопасно (я не знаком с пассивным FTP или открываю ряд портов, например этот). Мы заносим в белый список IP-адреса всех наших клиентов, которые будут подключаться к этому серверу через порт 21.
Вопросы
Есть ли способ открыть эти пассивные порты, не открывая их в группе безопасности opn AWS, возможно, используя конфигурации IP на сервере EC2, как в этой статье (http://www.proftpd.org/docs/howto/NAT.html)? Я не знаком с этими типами конфигураций и не знаю, что здесь делать.
Поскольку пользователь не может подключиться к серверу FTPS, не пройдя через порт 21, который внесен в белый список их IP-адресов, можно ли, чтобы TCP-порты 60000-65535 были открыты для всех IP-адресов в группе безопасности AWS? Какие проблемы безопасности мне здесь следует иметь?
Есть ли какой-нибудь другой способ настройки этого "передового опыта"?