FTP Ports - pureFTP

[opul]

Hi Leutz

Ich habe folgendes Problem. Auf meiner SuSE 8 hab ich PureFTPd am laufen. Bei mir funktioniert alles tip top. Nun habe ich jedoch von einem Kunden erfahren dass bei Ihm die Verbindung zwar schnell sei, jedoch das listing der dateien sehr lange braucht. Vom Technischen Support hab ich dann erfahren dass jedesmal ein Alarm in seiner Firewall ausgelöst wird, da auf irgendwelchen ports, meistens um die 4000 rum verbunden wird. Tatsächlich hab ich dann festgestellt dass das auch bei mir so ist (bei mir werden jedoch alle Verbindungen zugelassen).

Nun zu meiner Frage: Wieso will mein PureFTP eine Verbindung auf so hohen Ports? Müsste doch alles über den Port 21 (bzw. und 20) laufen. Wie kann ich meinen PureFTP dazu bringen dies nicht mehr zu tun?

Besten Dank
Opul

[SySTeMLorD]

so weit ich es mit dem ftp-protokoll richtig verstanden habe, baut man die ftp-verbindung über port 21 bzw. 20 auf.

danach switched der CLIENT in den passiv-mode und transferiert die daten mit dem server auf höheren ports.

[slime]

korrekt, die daten gehen über andere ports als 21, das hat das ftp-protokoll so an sich.
allerdings geht das listing über port 21 und nicht über irgendwelche unprivelligierte ports >1024.

[opul]

hmmm

Hab da auch mal n'bisschen weiter nachgeguckt. Auf der offiziellen PureFTP Seite stand folgendes in den FAQ:

-----------------------------------------
* Firewalling

-> My FTP server is behind a firewall. What ports should I open?

First, you have to open port 21 TO the FTP server. You also have to allow
connections FROM (not to) port 20 (of the FTP server) to everywhere. That's
enough to handle the "active" mode. But that's not enough to handle all
types of clients. Most clients will use another mode to transmit data called
'passive' mode. It's a bit more secure than 'active' mode, but you need to
open more ports on your firewall to have it work.

So, open some ports TO the FTP server. These ports should be > 1023. It's
recommended to use at least twice the max number of clients you are
expecting. So, if you accept 200 concurrent sessions, opening ports 50000 to
50400 is ok.

Then, run pure-ftpd with the '-p' switch followed by the range configured in
your firewall. Example : /usr/local/sbin/pure-ftpd -p 50000:50400 &

Unlike some popular belief, the MORE opened ports you have for passive FTP,
the MORE your FTP server will be secure, because the LESS you are vulnerable
to data hijacking.

If your firewall also does network translation (NAT), you have to enable
port forwarding for all passive ports.

On the client side, if a client is behind a firewall, that firewall must
understand the FTP protocol. On Linux firewalls (iptables), just load
the ip_conntrack_ftp and ip_nat_ftp modules. On OpenBSD firewalls (PF),
redirect all traffic to port 21, to ftp-proxy.
-----------------------------------------

Soviel ich weiss läuft das listing doch über die höheren Ports. Wenn ich im windows Kommandozeilen - FTP "dir" eingebe kriege ich folgende Rückmeldung: "Connecting on Port 2214" ... immer wieder ein anderer Port...

[slime]

tsculdigung, fehler von mir,,
natürlich läuft das über unprivelligierte ports beim passiven ftp, aber der datentransfer auch.
der port 20 ist nur für aktives ftp soweit ich weiß.
um das durch die firewall zu lassen ist wie unten genannt das connetction-tracking modul zuständig.