VSFTPD: server ftp passivo dietro un firewall

postato in: Linux, Tool | 0

Capita spesso di dover configuare un server FTP in modalità passiva dietro un firewall e trovarsi in difficoltà.

Non è di certo una cosa molto complessa ma se non si conosce bene il meccanismo di funzionamento del protocollo FTP potrebbe portar via molto molto tempo.

In un precedente post si può trovare una spiegazione semplice ma chiara del funzionamento del protocollo FTP e delle differenze tra FTP attivo e FTP passivo.

Se il server FTP è posizionato dientro a un firewall potrebbe essere necessario intervenire anche sul firewall stesso. Esistono firewall che gestiscono in automatico il cambio delle porte ma per sicurezza preferisco sempre intervenire e creare delle apposite regole. Individuo delle porte “libere” e le predispongo per essere utilizzate dal servizio FTP passivo rigirandole dal firewall al server FTP.

Dopo di che passo a configurare il servizio FTP.

Configurazione ftp passivo

Io prediliggo utilizzare linux e il servizio VSFTPD per creare e mettere a disposizione dei servizi FTP . L’introduzione e la configurazione del servizio VSFTPD è già stata affrontata in un precedente articolo.  Inoltre in un altro post si è affrontata la creazione degli utenti definendo solo e unicamente un accesso al servizio FTP e non inficiando altre funzionalità.

su server linux aggiungo al file di configurazione vsftpd.conf queste poche righe.

# passive port range
pasv_enable=YES
pasv_min_port=21021
pasv_max_port=21121

 

pasv_address=95.110.20.37

Con queste righe indico che:

  1. il servizio VSFTPD deve funzionare in modalità passiva;
  2. la porta più bassa per lo scambio dati e comunicazioni deve essere la 10021;
  3. la porta più alta utilizzata per lo scambio dati e comunicazioni deve essere la 10121;
  4. comunico al client che, dopo l’autentificazione, deve ricontattare l’indirizzo 95.110.210.170.

alternativamente alla riga “pasv_address=95.110.20.37” possiamo andare a impostare le seguenti due righe che indicano al client non l’ip ma un nome a dominio da contattare dopo l’autentificazione.

#pasv_addr_resolve=YES
#pasv_address=www.consulentiit.it

 

Lascia un commento