Saltar al contenido

¿Qué puertos de firewall necesito abrir cuando uso FTPS?

Basta ya de indagar por todo internet ya que has llegado al sitio perfecto, tenemos la solución que quieres recibir sin complicaciones.

Solución:

Solución 1:

Creo que los puertos alrededor de 990 eran para SSL implícito, que era una forma antigua no estándar de hacer FTP / SSL. La forma “correcta” en estos días es SSL explícito, lo que significa que aún se conecta en el puerto 21 y luego negocia SSL antes de enviar sus obsequios. Para admitir conexiones a través de un firewall, debe usar el modo PASV y configurar los puertos de datos que se usarán.

Creo que necesita al menos un puerto por conexión de datos que desee admitir. Si eres solo tú, probablemente estés bien abriendo solo algunos puertos adicionales. Específicamente para mí, uso 21000-21010.

En vsftpd.conf, tengo estas dos líneas (junto con todas las demás cosas para admitir SSL):

pasv_min_port=21000

pasv_max_port=21010

En mi firewall, tengo un público static IP con uno a uno /static NAT a la IP interna y solo se abren los puertos tcp 21, 21000-21010.

Solucion 2:

Mi comprensión de FTP sobre SSL (ftps) es que no funciona bien con firewalls y NAT. En una sesión FTP ordinaria, el firewall lee la información sobre las conexiones de datos y la modifica para NAT para que el firewall abra dinámicamente los puertos necesarios. Si esa información está protegida por SSL, el firewall no puede leerla ni cambiarla.

El uso de SFTP, o scp, facilita mucho el trabajo del administrador de red: todo sucede en el puerto 22 del servidor y la transacción sigue el modelo cliente / servidor normal.

Una cosa que no se menciona es si su firewall está realizando NAT y si lo está o no static NAT o NAT dinámica. Si su máquina cliente tiene un static dirección o está siendo NAT estáticamente, es posible que no necesite realizar ningún cambio en el firewall, asumiendo que permite todo el tráfico saliente y el servidor funciona solo en modo pasivo (PASV).

Para saber exactamente qué puertos necesitará abrir, deberá:

a) hable con el proveedor para obtener detalles sobre cómo se ha configurado su sistema.

b) Utilice un analizador de protocolos, como tcpdump o wirehark, para observar el tráfico, tanto desde fuera de su cortafuegos como dentro de su cortafuegos.

Debe averiguar qué puerto es la conexión de control. Enumeras 3, lo que me parece extraño. Suponiendo que el servidor solo funciona en modo PASV (pasivo), debe averiguar cómo está configurado el servidor para los puertos de DATOS asignados. ¿Han bloqueado el canal de DATOS a un solo puerto de entrada? ¿Han bloqueado el canal de DATOS a un rango o puertos pequeños?

Con estas respuestas, puede comenzar a configurar su firewall.


Solucion 3:

Sin embargo, sé que este es un hilo extremadamente antiguo …

Tenga en cuenta que SFTP es completamente diferente de FTPS. (SSH frente a SSL)

FTPS funciona de 2 maneras. Explícito e implícito. Explícito es menos seguro porque después del protocolo de enlace inicial se omite el cifrado durante las transferencias de datos [if data encryption is maintained is configurable on server side with PROT P], mientras que el implícito también mantiene el cifrado de los datos después del protocolo de enlace. El puerto FTPS explícito predeterminado es 21. El puerto implícito predeterminado es 990 (después del protocolo de enlace cambiará automáticamente a 989 para la transmisión de datos, si no se configura de manera diferente). Si bien el puerto 21 se acepta generalmente como FTPS EXPLÍCITO y el 990 como FTPS IMPLÍCITO, en realidad, cualquier puerto que configure, excepto 990/989, conducirá a FTPS EXPLÍCITO, mientras que SÓLO 990/989 se aceptará como FTPS IMPLÍCITO.

Entonces, para responder a su pregunta: – dependiendo de la configuración del servidor FTPS, deberá abrir el puerto 21 o 990/989. Sin embargo, solo para estar seguro, debe comunicarse con el administrador del servidor FTPS y pedir instrucciones. Además, tenga en cuenta que para el modo pasivo, como con cualquier otro software de FTP, tendrá que abrir puertos adicionales (TCP / UDP) por lo general entre 64000 y 65000.


Solucion 4:

Básicamente, ftps es casi inútil, porque debe realizar solicitudes embarazosas a los administradores del firewall. El consejo de restringir los puertos a 10 es bueno. Mucho más, se vuelve patético.

sftp es mucho mejor en teoría. Pero necesita un servidor sftp viable, por ejemplo, uno que restrinja a los clientes a su propio directorio personal.

Dependiendo de la aplicación, considere HTTPS. La carga de un archivo es realmente simple y, obviamente, una descarga también lo es. Si de todos modos está creando un script para el FTP, probablemente será más fácil crear un script para subir un archivo HTTPS.

El FTP automatizado es una señal de un problema de diseño. Me di cuenta de esto cuando trataba con un total de una docena de proveedores que ‘requerían’ un lugar en el que trabajaba para hacer FTP automatizado (para cosas MUY importantes), y cuando hacía que decenas de clientes lo hicieran con esa misma tienda (una falla de diseño para aproximadamente 20 usos distintos que presencié). Fue fácil convencer a la mayoría de los usuarios de aplicaciones para que usaran HTTPS (por lo general, ante la mención, decían “espera, no hay razón para que no lo obtengan con HTTPS desde el servidor web en el que ya les estamos proporcionando datos”. ), excepto algunos que dieron respuestas como “bueno, ya tenemos estos scripts que parecen funcionar, y nadie en nuestro equipo es realmente bueno con los scripts, por lo que realmente no podemos hacer ningún cambio” (un equipo de 5 a 10 programadores, pretendiendo no entender que pueden escribirlo en un idioma de su elección, porque no saben cómo escribir un programa trivial desde cero).

Reseñas y valoraciones del post

Si te gusta el tema, tienes la habilidad dejar una crónica acerca de qué le añadirías a esta crónica.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *