Доступ извне к FTP серверу



  • Добрый день!
    Внутри локальной сети есть FTP сервер, который работает в пассивном режиме. Необходимо предоставить к нему доступ клиентам из Интернете. Для работы пассивного режима на FTP сервере открыл порты 5000-5100. Пробросил порт управления 21 на FTP сервер, а вот как пробросить диапазон портов 5000-5100?
    Иду в Firewall - Nat - Port Forwarder и пытаюсь написать правило для диапазона, но в Destination port range можно указать диапазон портов, а вот в Redirect target port уже невозможно указать диапазон, только один порт.
    Кто-нибудь сталкивался с такой проблемой?



  • Вот ответ:

    Specify the port on the machine with the IP address entered above. In case of a port range, specify the beginning port of the range (the end port will be calculated automatically).
    this is usually identical to "From port" above



  • Все правильно в Destination / Redirect target port указывается только начальный порт в данном случае это 49152

    Пример

    wan TCP * * wan address             21 (FTP) 172.16.128.5         21 (FTP)         FTP NAS
    wan TCP * * wan address   49152 - 65534 172.16.128.5 49152 - 65534 FTP NAS



  • Почему 49152? Я могу любой диапазон указать на FTP сервере.



  • @dirar:

    Почему 49152? Я могу любой диапазон указать на FTP сервере.

    Конечно любой – я просто 49152 привел для примера



  • @dirar:

    Почему 49152? Я могу любой диапазон указать на FTP сервере.

    Это просто пример. Да и отдавать такую кучу портов ( 49152 - 65534) необязательно. Для FTP с парой пользователей я отдал вообще 30000 - 30100, т.е. всего 100.



  • SSL-соединение  включать или нет? И если включить, FTP-клиент также надо настраивать соответствующим образом?  У меня FilleZille.



  • Так же можно прописать диапазон портов в  Firewall / Aliases / Ports

    и указав порты чрез :
    portFTP
    5000:5100

    и при создании правила форвардинга он будет выглядеть
    wan    TCP    *    *    wan address      portFTP    172.16.128.5    portFTP    FTP NAS



  • @dirar:

    SSL-соединение  включать или нет? И если включить, FTP-клиент также надо настраивать соответствующим образом?  У меня FilleZille.

    По идее придется открыть порт 990 и, либо получить "правильный" сертификат, либо сгенерировать самоподписанный, сертификат, на который будут ругаться FTP- клиенты.

    https://wiki.filezilla-project.org/FTP_over_TLS
    https://ru.wikipedia.org/wiki/FTPS
    https://serverfault.com/questions/17957/what-ports-are-used-by-ftp-over-ssl



  • @pigbrother:

    @dirar:

    Почему 49152? Я могу любой диапазон указать на FTP сервере.

    Это просто пример. Да и отдавать такую кучу портов ( 49152 - 65534) необязательно. Для FTP с парой пользователей я отдал вообще 30000 - 30100, т.е. всего 100.

    Один клиент - два порта. Вроде так.



  • @werter:

    @pigbrother:

    @dirar:

    Почему 49152? Я могу любой диапазон указать на FTP сервере.

    Это просто пример. Да и отдавать такую кучу портов ( 49152 - 65534) необязательно. Для FTP с парой пользователей я отдал вообще 30000 - 30100, т.е. всего 100.

    Один клиент - два порта. Вроде так.

    Если точнее -  в пассивном режиме (наш случай) - 21-й " командный" порт всегда и для каждого клиента плюс 1 порт для передачи собственно данных.



  • Т.е. если к моему FTP подключается всего один клиент, хватает открыть 21 порт и еще один из диапазона динамических портов?



  • @dirar:

    Т.е. если к моему FTP подключается всего один клиент, хватает открыть 21 порт и еще один из диапазона динамических портов?

    Нет.
    В  Filezilla омечаете галкой Passive mode settings и задаете диапазон портов. Можете вписать свой белый IP в Use the following IP
    В pfSense в port forward открываете порт 21 TCP одним правилом, и вторым правилом - заданный в Passive mode settings диапазон.
    Клиент и Filezilla сами договорятся, какой порт займет клиент.


Log in to reply