এফটিপিএস ব্যবহার করার সময় আমার কোন ফায়ারওয়াল বন্দরগুলি খুলতে হবে?

33

আমার কোনও বিক্রেতার সাইটে একটি FTPS সার্ভার (vsftpd) অ্যাক্সেস করা দরকার। বিক্রেতার ftps সার্ভারের সামনে একটি ফায়ারওয়াল রয়েছে। আমার এফটিপিএস ক্লায়েন্টের সামনে ফায়ারওয়াল রয়েছে।

আমি বুঝতে পারি যে 930, 991 এবং সম্ভবত 989 বন্দরগুলি ট্র্যাফিক নিয়ন্ত্রণের জন্য খোলার প্রয়োজন।

আমার কিছু প্রশ্ন আছে:

  1. বিক্রেতার ফায়ারওয়াল দৃষ্টিকোণ থেকে এটি তাকানোর সময়, এই পোর্টগুলি কি অন্তর্মুখী এবং বহির্মুখী উভয় ট্র্যাফিকের জন্যই খোলা উচিত?
  2. ডেটা চ্যানেলের জন্য পোর্টগুলির কী হবে?
  3. আমাকে কি 1000 এর উপরে সমস্ত বন্দর খুলতে হবে?
  4. ইনবাউন্ড এবং আউটবাউন্ড ট্র্যাফিক উভয়ের জন্য আমার এটি করা উচিত?
firewall  ftp  port 
টিম
সূত্র

উত্তর:

19

এসএসএল (এফটিপিএস) এর উপরে এফটিপি সম্পর্কে আমার বোঝা এটি ফায়ারওয়াল এবং NAT এর সাথে ভালভাবে কাজ করে না। একটি সাধারণ এফটিপি সেশনে, ফায়ারওয়াল দ্বারা প্রয়োজনীয় পোর্টগুলি গতিশীলভাবে খোলার জন্য ফায়ারওয়াল দ্বারা ডেটা সংযোগগুলি সম্পর্কিত তথ্যগুলি পড়া হয় এবং এনএটি সংশোধিত হয়। যদি তথ্যটি এসএসএল দ্বারা সুরক্ষিত হয় তবে ফায়ারওয়াল এটি পড়তে বা এটি পরিবর্তন করতে পারে না।

এসএফটিপি বা স্কিপি ব্যবহার করে নেটওয়ার্ক প্রশাসকের কাজকে অনেক সহজ করে তোলে - সার্ভারের পোর্ট 22 এ সবকিছু ঘটে এবং লেনদেনটি সাধারণ ক্লায়েন্ট / সার্ভারের মডেল অনুসরণ করে।

আপনার ফায়ারওয়াল NAT সম্পাদনা করছে কি না এবং এটি স্থির NAT বা গতিশীল NAT কিনা তা উল্লেখ করা হয়নি। যদি আপনার ক্লায়েন্ট মেশিনের একটি স্থিতিশীল ঠিকানা থাকে বা এটি স্থিতিশীলভাবে নাটকযুক্ত হয় তবে আপনাকে কোনও ফায়ারওয়াল পরিবর্তন করার দরকার নেই, ধরে নিয়েই আপনি সমস্ত আউটবাউন্ড ট্র্যাফিকের অনুমতি দেবেন এবং সার্ভারটি কেবল প্যাসিভ মোডে (পিএএসভি) চালিত হবে।

আপনাকে কোন বন্দরগুলি খোলার দরকার হবে তা জানতে, আপনার প্রয়োজন হয়:

ক) বিক্রেতার সাথে কীভাবে তাদের সিস্টেমটি কনফিগার করা হয়েছে সে সম্পর্কে সুনির্দিষ্টভাবে কথা বলতে পারেন।

খ) আপনার ফায়ারওয়ালের বাইরে এবং আপনার ফায়ারওয়ালের ভিতরে থেকে ট্র্যাফিকটি দেখার জন্য, tcpdump বা wireshark এর মতো একটি প্রোটোকল বিশ্লেষক ব্যবহার করুন

কোন পোর্টটি নিয়ন্ত্রণ সংযোগ তা আপনাকে খুঁজে বের করতে হবে। আপনি 3 তালিকাবদ্ধ করুন, যা আমার কাছে অদ্ভুত বলে মনে হচ্ছে। ধরে নিই যে সার্ভারটি কেবল PASV (প্যাসিভ) মোডে কাজ করে, আপনাকে কীভাবে সার্ভারটি বরাদ্দ হওয়া ডেটা পোর্টগুলিতে কনফিগার করা হয়েছে তা খুঁজে বের করতে হবে। তারা কি ডেটা চ্যানেলটি একটি একক অভ্যন্তরীণ বন্দরে লক করে দিয়েছে? তারা কি ডেটা চ্যানেলটিকে একটি ছোট পরিসর বা বন্দরগুলিতে লক করে দিয়েছে?

এই উত্তরগুলির সাহায্যে আপনি আপনার ফায়ারওয়ালটি কনফিগার করতে শুরু করতে পারেন।

pcapademic
সূত্র
3
প্যাসিভ মোড এফটিপিএস # 1024 পোর্টের ওপরে একটি নিয়ন্ত্রণ পোর্ট ব্যবহার করবে এবং এটি অ-প্যাসিভের চেয়ে ফায়ারওয়ালের সাথে আরও ভাল কাজ করবে। ক্লায়েন্টটি 21-র উপরের-আবদ্ধ পোর্টটি কী খুলতে হবে তা বলছে এবং তাই আপনি "2000 বা 2001-তে পোর্টে নিয়ন্ত্রণ রয়েছে" বলতে ক্লায়েন্টকে কনফিগার করতে পারেন এবং তারপরে সার্ভার আউটবাউন্ড পোর্ট 2000 বা 2001 খুলবে most বেশিরভাগ এফটিপি ক্লায়েন্ট একটি নির্দিষ্ট পরিসীমা সংজ্ঞায়িত সমর্থন করে "নিয়ন্ত্রণ" করার জন্য পোর্টগুলির এবং এটি ফায়ারওয়াল সংজ্ঞাগুলি সহজ করে তোলে।
জাঙ্গোফান
27

আমি বিশ্বাস করি যে 990 এর আশেপাশের বন্দরগুলি অন্তর্নিহিত এসএসএলের জন্য ছিল, এটি ছিল এফটিপি / এসএসএল করার পুরানো অ-মানক উপায়। এই দিনগুলির "সঠিক" উপায়টি সুস্পষ্ট এসএসএল, যার অর্থ আপনি এখনও 21 বন্দরটিতে সংযোগ স্থাপন করেন এবং তারপরে আপনার জিনিসপত্র প্রেরণের আগে এসএসএল এর সাথে আলোচনা করুন। ফায়ারওয়ালের মাধ্যমে সংযোগগুলি সমর্থন করার জন্য, আপনাকে PASV মোড ব্যবহার করতে হবে এবং ডেটা পোর্টগুলি ব্যবহারের জন্য হার্ড সেট করতে হবে।

আমি বিশ্বাস করি যে আপনি সমর্থন করতে চান এমন ডেটা সংযোগের জন্য আপনার কমপক্ষে একটি পোর্ট প্রয়োজন। যদি এটি কেবল আপনি হন তবে আপনি সম্ভবত কয়েকটি অতিরিক্ত বন্দর খোলার পক্ষে যথেষ্ট fine বিশেষত আমার জন্য, আমি 21000-21010 ব্যবহার করি।

Vsftpd.conf এ আমার এই দুটি লাইন রয়েছে (এসএসএল সমর্থন করার জন্য অন্যান্য সমস্ত জিনিস সহ):

pasv_min_port=21000

pasv_max_port=21010

আমার ফায়ারওয়ালে আমার অভ্যন্তরীণ আইপি-তে এক-এক-এক / স্ট্যাটিক NAT সহ একটি সর্বজনীন স্ট্যাটিক আইপি রয়েছে এবং কেবল 21, 21000-21010 টিসিপি পোর্ট রয়েছে।

ডেভিড
সূত্র
10

আমি জানি এটি একটি অত্যন্ত পুরানো থ্রেড, তবে ..

দয়া করে মনে রাখবেন যে এসএফটিপি FTPS থেকে সম্পূর্ণ পৃথক। (এসএসএইচ বনাম এসএসএল)

এফটিপিএস 2 উপায়ে খারাপ হয়। সুস্পষ্ট এবং অন্তর্নিহিত। স্পষ্টত কম সুরক্ষিত কারণ প্রাথমিক হ্যান্ডশেকের পরে ডেটা স্থানান্তর চলাকালীন এনক্রিপশনটি এড়ানোর পরে [যদি ডেটা এনক্রিপশন বজায় থাকে তবে পিআরটি পি এর সাথে সার্ভারে কনফিগারযোগ্য হয়], তবে ইমপ্লিট হ্যান্ডশেকের পরেও ডেটার এনক্রিপশন রাখে। ডিফল্ট স্পষ্টত এফটিপিএস পোর্টটি 21 The পোর্ট 21 সাধারণত এক্সপ্লিট এফটিপিএস এবং 990 টি আইএমপিএলসিটি এফটিপিএস হিসাবে স্বীকৃত হয়, বাস্তবে আপনি 990/989 ব্যতীত যে কোনও বন্দরটি কনফিগার করবেন, এক্সপ্লিকেট এফটিপিএসের দিকে পরিচালিত করবেন যখন কেবল 990/989 কেবলমাত্র আইপিএলসিটি এফটিপিএস হিসাবে স্বীকৃত হবে।

সুতরাং, আপনার প্রশ্নের উত্তর দিতে: - এফটিপিএস সার্ভারের কনফিগারেশনের উপর নির্ভর করে আপনার 21 বা 990/989 পোর্টটি খুলতে হবে। যাইহোক, কেবল নিশ্চিত হওয়ার জন্য, আপনার এফটিপিএস সার্ভার প্রশাসকের সাথে যোগাযোগ করা উচিত এবং দিকনির্দেশনা চাইতে হবে। এছাড়াও, মনে রাখবেন যে প্যাসিভ মোডের জন্য, অন্যান্য অন্যান্য এফটিপি সফ্টওয়্যারগুলির মতো, আপনাকে অতিরিক্ত পোর্টগুলি (টিসিপি / ইউডিপি) খুলতে হবে যা সাধারণত 64000-65000 পরিসীমা থেকে থাকে।

মেরিন
সূত্র
2

মূলত ftps প্রায় অকেজো, কারণ আপনাকে অবশ্যই ফায়ারওয়াল প্রশাসকদের বিব্রতকর অনুরোধ জানাতে হবে। 10-তে পোর্ট সীমাবদ্ধ করার পরামর্শটি ভাল। আরও অনেক কিছু, এটি করুণ হয়ে ওঠে।

তত্ত্বের ক্ষেত্রে এসএফটিপি অনেক উন্নত। তবে আপনার একটি কার্যকর টানা এসএফটিপি সার্ভারের প্রয়োজন, যেমন একটি যা ক্লায়েন্টদের তাদের নিজস্ব ডিরেক্টরি ডিরেক্টরিতে সীমাবদ্ধ করে।

আবেদনের উপর নির্ভর করে এইচটিটিপিএস বিবেচনা করুন। একটি ফাইল আপলোড সত্যিই সহজ, এবং একটি ডাউনলোড স্পষ্টতই ভাল। যদি আপনি যাইহোক এফটিপি স্ক্রিপ্ট করছেন তবে এটি সম্ভবত এইচটিটিপিএস ফাইল আপলোডের স্ক্রিপ্ট করা সহজতর হবে।

অটোমেটেড এফটিপি ডিজাইন সমস্যার একটি চিহ্ন problem মোটামুটি এক ডজন বিক্রেতাদের সাথে কথা বলার সময় আমি এটি লক্ষ্য করেছি যখন আমি স্বয়ংক্রিয় এফটিপি (খুব গুরুত্বপূর্ণ বিষয়গুলির জন্য) করার জন্য কাজ করেছি এমন একটি জায়গা 'প্রয়োজনীয়' হয়েছিল এবং কয়েক ডজন গ্রাহককে একই দোকান দিয়ে এটি করার সময় (প্রায় কোনও ডিজাইনের ব্যর্থতা) আমি স্বীকার করেছি 20 স্বতন্ত্র ব্যবহার)। বেশিরভাগ অ্যাপ্লিকেশন ছেলেদের এইচটিটিপিএস ব্যবহার করতে রাজি করা সহজ ছিল (সাধারণত উল্লেখ করার সময় তারা বলেছিলেন "অপেক্ষা করুন, কোনও কারণ নেই যে আমরা কেবল ওয়েব সার্ভার থেকে এইচটিটিপিএস দিয়ে এটি পাচ্ছি না যা আমরা ইতিমধ্যে তাদের ডেটা পরিবেশন করছি?" ), "বেশ ভাল, যেমন ইতিমধ্যে আমাদের কাছে এই স্ক্রিপ্টগুলি কাজ করছে বলে মনে হয়েছে এমন কিছু বাদে এবং আমাদের দলের কেউ স্ক্রিপ্টিংয়ের সাথে সত্যিই ভাল না তাই আমরা সত্যিই কোনও পরিবর্তন আনতে পারি না" (5-10 প্রোগ্রামারদের একটি দল,

carlito
সূত্র
1

বিক্রেতা ইতিমধ্যে না থাকলে ডেটা সংযোগ বন্দরের জন্য একটি সংকীর্ণ বন্দর পরিসর কনফিগার করতে সক্ষম হতে পারে। তারপরে আপনি হোস্টগুলির জন্য যেমন অ্যাক্সেসের প্রয়োজন রয়েছে তার জন্য আপনি একই প্রান্তটি খুলতে পারেন। PASV মোড ব্যবহার করা উচিত।

ক্রিস ডাব্লু রিয়া
সূত্র
-1

পোর্ট 22 মানক যেহেতু ইউনিক্সের এসএসএইচ ডেমনটিতে একটি এসএফটিপি মডিউল রয়েছে যা আপনি মূলত একটি স্পষ্ট এসএফটিপি সার্ভার তৈরি করতে সক্ষম করতে পারেন। আপনি যদি ফাইলজিলার সাথে একটি অন্তর্নিহিত এফটিপি সার্ভার চালাতে চান তবে আপনি এটি যে কোনও পোর্টে চালাতে পারেন তবে একটি ক্যাচ রয়েছে: আপনি যদি ফাইলজিলা ক্লায়েন্ট ব্যবহার করেন তবে আপনাকে এফটিপিপি সাইট ইউআরএলকে ftps: //mysite.com: 8086 হিসাবে নির্দিষ্ট করতে হবে পরিবর্তে ফাইলজিলা ক্লায়েন্ট সরবরাহ করে এমন পৃথক পোর্ট ক্ষেত্রে বন্দরটি রাখার চেয়ে।

সুস্পষ্ট বিকল্পের জন্য আপনার কেবলমাত্র একটি পোর্ট দরকার: 22. অন্তর্নিহিত বিকল্পের জন্য আপনার কাছে নিয়ন্ত্রণ পোর্টের জন্য কেবল ফায়ারওয়াল খোলা থাকতে হবে: 8086 (যা আপনার ফাইলজিলা সার্ভারে 21 পোর্টে অভ্যন্তরীণভাবে ফরোয়ার্ড করে)।

djangofan
সূত্র
6
প্রশ্নটি এফটিপিএস সম্পর্কে জিজ্ঞাসা করেছিল, এসএফটিপি নয়।
মাইকেল ল্যাং
-7

যদি ftps sftp এর সমান হয় , তবে আপনাকে কেবল বিক্রেতার সাইটে 22 পোর্ট অ্যাক্সেস করতে সক্ষম হতে হবে।

আপনার শেষে আপনার পোর্ট 22 বহির্গামী এবং সম্পর্কিত আগত ট্র্যাফিকের অনুমতি দেওয়ার জন্য আপনার ফায়ারওয়ালটি কনফিগার করা উচিত । এটি যে কোনও আগত বন্দরে যোগাযোগের অনুমতি দেবে যেটি 22 বন্দরের প্রাথমিক বহির্গমন সংযোগের সাথে সম্পর্কিত

ক্ষুদ্র বনহংসীবিশেষ
সূত্র
11
এসএফটিপি ftps (কোড guru.com/csharp/.net/net_general/internet/article.php/… ) এর মতো নয়। এসএফটিপি হ'ল এসএসএইচ-এর সাথে ব্যবহৃত ফাইল ট্রান্সফার প্রোটোকল। এফটিপিএস হ'ল এসএসএল সহ এফটিপি, এফটিপিএস একটি নতুন এলোমেলো বন্দরে একটি নতুন ডেটা সংযোগ শুরু করে, যা ফায়ারওয়ালের পিছনে মোতায়েন করা শক্ত করে তোলে, তবে আমি এই পরিস্থিতিতে ফায়ারওয়ালটি সরাতে পারি না।
2
তাহলে আমি দুঃখিত. যদিও অন্যদের মধ্যে একই বিভ্রান্তি রয়েছে তবে আমি এই পোস্টটি ছাড়ব।
ব্রেন্ট
এটি একটি বিশাল সাধারণ বিভ্রান্তি। ফায়ারওয়াল দিক থেকে, sftp অনুমতি দেওয়া সহজতর, এটি লগইন অ্যাক্সেসের উদ্দেশ্যে তৈরি এমন একটি প্রোটোকলে নির্মিত। উল্লেখযোগ্য স্বাধীন বৈধতা ছাড়াই স্বাধীন সুরক্ষা গোষ্ঠীগুলির অনুমতি দেওয়ার জন্য অবহেলা। অবিশ্বস্ত ক্লায়েন্টদের জন্য যুক্তিসঙ্গত sftp সার্ভারটি সন্ধান / কনফিগার করার জন্য সিসাদমিনদের পক্ষে অসুবিধা। Sftp বা ftps এর যে কোনও আলোচনার ক্ষেত্রে অবশ্যই অন্যান্য প্রোটোকল বিউকিউজ কনফিউশনটি উল্লেখ করা উচিত তাই সাধারণ।
কার্লিটো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.