1

Так что я знаю, как все это настроить, и есть множество других постов с инструкциями. Однако у меня есть более конкретный вопрос:

Существует ли диапазон портов STANDARD, который будет использоваться для прослушивания пассивного FTP-сервера? Например, очевидно, я не хочу делать 22-1000 или что-то. Кроме того, чтобы просто узнать, что еще работает на моей машине, как мне определить, какие порты использовать? Я видел здесь предложенный диапазон 5000-5010, например.

Также бонусный вопрос. Есть ли рекомендуемое количество портов для открытия? Filezilla просто предлагает весь диапазон от 0 до 65535 без каких-либо указаний (или я не нашел), указывающих, какой диапазон или сколько портов использовать.

1 ответ1

1

Стандарты протокола FTP

С точки зрения неаутентифицированного доступа, разрешенного для подключения к вашему FTP-серверу через открытый порт канала данных на прослушивающем FTP-сервере согласно RFC 959:

  • Сервер-PI

    Интерпретатор протокола сервера "слушает" порт L для установления соединения от пользовательского PI и устанавливает управляющее соединение связи. Он получает стандартные команды FTP от пользователя-PI, отправляет ответы и управляет сервером-DTP.

    Источник

Это означает, что прослушивающий FTP-сервер, как ожидается, будет следовать стандартному протоколу FTP-сервера, поэтому, если ваш FTP-сервер требует аутентификации, он разрешит подключение только через открытый пассивный порт, который он выбрал для подключения к каналу данных, после аутентификации PI-user Установлено.

  • контрольное соединение

    Путь связи между USER-PI и SERVER-PI для обмена командами и ответами. Это соединение следует протоколу Telnet.

    ЧИСЛО ПИ

    Протокольный переводчик. Пользовательская и серверная стороны протокола имеют разные роли, реализованные в пользовательском PI и серверном PI.

    Источник


FTP Безопасность

Использование простого FTP для связи и обмена данными небезопасно, поскольку все, что может прочитать пакеты, может видеть ваши данные, поэтому рассмотрите возможность использования SSH FTP или FTP SSL для добавления шифрования на этом уровне.

Кроме того, согласно RFC 959:

  • Протокол требует, чтобы управляющие соединения были открыты во время передачи данных. Пользователь несет ответственность за запрос на закрытие управляющих соединений после завершения использования службы FTP, в то время как действие выполняет сервер. Сервер может прервать передачу данных, если управляющие соединения закрыты без команды.

    Источник

Поэтому убедитесь, что FTP-сервер настроен на короткий период ожидания, и это должно помочь быстрее отключить отключенные сеансы пользователей и порты каналов данных.


Безопасность порта

Подумайте об использовании большого диапазона портов, например 40000-45000 и настройте правила сетевого устройства брандмауэра, чтобы разрешить трафику только поступать на FTP-сервер и передавать все пакеты через сканер пакетов для обнаружения вторжений и т.д., Чтобы предотвратить обычную атаку. шаблоны и тому подобное.

Не используйте общие порты, если это возможно, и просмотрите список номеров портов TCP и UDP.

Убедитесь, что FTP-сервер еще более заблокирован для портов, доступ к которым разрешен из Интернета с помощью правил брандмауэра на уровне ОС, отключите ненужные службы и убедитесь, что вы не используете порты в пассивном диапазоне, который вы используете для других служб, которые слушаю на этом сервере.


FileZilla FTP Server Security

Прочитайте статью FTP-сервера Harden FileZilla и воспользуйтесь этими функциями безопасности.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .