Мы должны использовать FTP через SSL на нашем сервере и использовать диапазон портов с 5 портами для передачи данных. Межсетевой экран находится между клиентом и сервером. Мы должны знать, что мы должны открыть на брандмауэре: порт, протокол, входящие или исходящие сообщения. Кто-нибудь знает это?
Да, у FTPS большие проблемы с использованием портов. Он модернизировал шифрование на протоколе FTP, который был разработан для сети без межсетевых экранов и черных шляп.
Однако SFTP имеет значительные проблемы с производительностью с большими файлами и соединениями с большой задержкой (или на большом расстоянии). Поскольку улучшение пропускной способности позволяет передавать файлы большего размера, ограничения SSH / SFTP становятся более значительными, и единственной альтернативой является FTPS.
У Slacksite есть хорошее объяснение того, как FTP работает в активный против пассивного режима, а окончательная информация о поведении подключения к данным находится в RFC 4217, § 7.
В принципе, предполагая, что ваши клиенты используют пассивный режим и явный SSL (например, подключается к порту управления 21 вместо 990 для неявного SSL), вам необходимо разрешить входящие подключения к порту управления 21 и вашим 5 портам данных от любых клиентов с высоким диапазоном портов до сервер и исходящие пакеты установленных соединений с соответствующих портов на произвольные высокие порты. Активный FTP обычно не является хорошей идеей, поскольку сервер будет пытаться активно открыть соединение с клиентом, что не разрешит большинство брандмауэров с отслеживанием состояния на стороне клиента, если не настроено соответствующим образом.
Обычно, явный "активный" FTPS - это порт 990, а порт управления - 989. Пассивный - это то же самое, что и активный, но просто означает, что в дополнение к 989 вы используете несколько портов из диапазона 1024+, открытых на сервере (для того, чтобы клиент инициировал соединение для передачи данных. ), в зависимости от того, как вы настроили свой сервер.
Лично я предпочитаю использовать NULL FTP-сервер, запустить неявный SFTP на порту 22 и имеет только реализацию одного порта.
Используйте wirehark http://www.wireshark.org/ и хост за пределами брандмауэра, чтобы увидеть, какие порты используются данной конкретной конфигурацией FTP + SSL.
На основе трафика, который вы видите, создайте правила брандмауэра, чтобы разрешить такой трафик с IP-адреса FTP-сервера.
Проблема с FTPS заключается в том, что все обходные пути, которые брандмауэры реализовали для обработки странностей протокола FTP, больше не работают. Это связано с тем, что брандмауэр не может проверить зашифрованное соединение для динамического открытия необходимых портов.
Тем не менее: диапазон портов, который вы настроили для пассивного FTP в серверном программном обеспечении, должен быть открыт от клиента к серверу. Также клиенту необходимо знать, что он должен использовать пассивный режим. За последние недели у меня было первое развертывание FTPS, и оно работает именно так.
(Что происходит с возрождением FTPS в последнее время? FTP - это архаичный кошмар протокола 1970-х, и ради человечества люди действительно должны держаться подальше от него, зашифрованного или нет.)