[opensuse-es] servidor ftp activo/pasivo
Hola, Tengo en opensuse 11.2 el servicio de ftp encendido. El firewall de opensuse también lo tengo activo y con el puerto 21 abierto. Pero.., si desde una máquina remota intento conectar esta conecta pero no llega a listar los ficheros (se 'cuelga'). Para que funcione tengo que conectar en modo 'activo' en lugar de modo 'pasivo'. Si apago el firewall entonces puedo conectar en modo pasivo sin problemas.. ¿A que es debido esto? por otra parte, ¿cuál de los dos modos es mejor? y que diferencia hay... ? Gracias, Marc -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Marc ct wrote:
Hola,
Tengo en opensuse 11.2 el servicio de ftp encendido. El firewall de opensuse también lo tengo activo y con el puerto 21 abierto. Pero.., si desde una máquina remota intento conectar esta conecta pero no llega a listar los ficheros (se 'cuelga'). Para que funcione tengo que conectar en modo 'activo' en lugar de modo 'pasivo'. Si apago el firewall entonces puedo conectar en modo pasivo sin problemas..
¿A que es debido esto?
por otra parte, ¿cuál de los dos modos es mejor? y que diferencia hay... ?
Gracias, Marc
Si no voy errado con iptables necesitarás un helper o agente que te gestione las peticiones ftp. En otros firewalls se le denomina como ftp-proxy. Aquí tienes un ejemplo: http://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/ http://www.bokko.nl/?p=151 Y sobre las diferencias: http://slacksite.com/other/ftp.html. Ambas conexiones tienen sus pros y contras ... Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Sat, 12 Jun 2010 17:12:59 +0200, Marc ct escribió:
Tengo en opensuse 11.2 el servicio de ftp encendido. El firewall de opensuse también lo tengo activo y con el puerto 21 abierto. Pero.., si desde una máquina remota intento conectar esta conecta pero no llega a listar los ficheros (se 'cuelga'). Para que funcione tengo que conectar en modo 'activo' en lugar de modo 'pasivo'. Si apago el firewall entonces puedo conectar en modo pasivo sin problemas..
¿A que es debido esto?
Hum... mira a ver si esto te sirve: http://en.opensuse.org/FTP_Server_HOWTO#FTP_Firewall_Settings Es para una 11.0 pero quizá siga vigente en la 11.2.
por otra parte, ¿cuál de los dos modos es mejor? y que diferencia hay...
La wikipedia lo explica bastante bien: http://es.wikipedia.org/wiki/File_Transfer_Protocol#Modos_de_conexi.C3.B3n_d... Y en la versión inglesa, lo resumen: *** (...) FTP can be run in active mode or passive mode, which control how the second connection is opened. In active mode the client sends the server the IP address port number that the client will use for the data connection, and the server opens the connection. Passive mode was devised for use where the client is behind a firewall and unable to accept incoming TCP connections. The server sends the client an IP address and port number and the client opens the connection to the server.[3] Both modes were updated in September 1998 to add support for IPv6 and made some other changes to passive mode, making it extended passive mode [5]. *** Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-12 19:03, Camaleón wrote:
El Sat, 12 Jun 2010 17:12:59 +0200, Marc ct escribió:
Tengo en opensuse 11.2 el servicio de ftp encendido. El firewall de opensuse también lo tengo activo y con el puerto 21 abierto. Pero.., si desde una máquina remota intento conectar esta conecta pero no llega a listar los ficheros (se 'cuelga'). Para que funcione tengo que conectar en modo 'activo' en lugar de modo 'pasivo'. Si apago el firewall entonces puedo conectar en modo pasivo sin problemas..
¿A que es debido esto?
Hum... mira a ver si esto te sirve:
http://en.opensuse.org/FTP_Server_HOWTO#FTP_Firewall_Settings
Es para una 11.0 pero quizá siga vigente en la 11.2.
por otra parte, ¿cuál de los dos modos es mejor? y que diferencia hay...
La wikipedia lo explica bastante bien:
http://es.wikipedia.org/wiki/File_Transfer_Protocol#Modos_de_conexi.C3.B3n_d...
Y en la versión inglesa, lo resumen:
*** (...)
FTP can be run in active mode or passive mode, which control how the second connection is opened.
In active mode the client sends the server the IP address port number that the client will use for the data connection, and the server opens the connection.
Passive mode was devised for use where the client is behind a firewall and unable to accept incoming TCP connections. The server sends the client an IP address and port number and the client opens the connection to the server.[3]
Both modes were updated in September 1998 to add support for IPv6 and made some other changes to passive mode, making it extended passive mode [5]. ***
El modo pasivo es más fácil para el cortafuegos del cliente, pero se complica en el servidor. Y el modo activo es al revés. El problema es tener que abrir un segundo puerto aleatorio para la conexión de datos, puerto que se decide durante la conexión, por lo que el cortafuegos lo desconoce. O bien se usa un modulo de seguimiento de conexión (ftpcontrack como se llame), o en el daemon reservas una serie de puertos fijos para datos, y abres permanentemente esos puertos en el cortafuegos. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwT1cMACgkQU92UU+smfQW5VwCeOXrEF85BsWtmi3Vn607WyhK6 RIkAn18C+yWc+aagOI7U/gKerN3oTgkw =WNIN -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 12 de junio de 2010 20:45, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On 2010-06-12 19:03, Camaleón wrote:
El Sat, 12 Jun 2010 17:12:59 +0200, Marc ct escribió:
Tengo en opensuse 11.2 el servicio de ftp encendido. El firewall de opensuse también lo tengo activo y con el puerto 21 abierto. Pero.., si desde una máquina remota intento conectar esta conecta pero no llega a listar los ficheros (se 'cuelga'). Para que funcione tengo que conectar en modo 'activo' en lugar de modo 'pasivo'. Si apago el firewall entonces puedo conectar en modo pasivo sin problemas..
¿A que es debido esto?
Hum... mira a ver si esto te sirve:
http://en.opensuse.org/FTP_Server_HOWTO#FTP_Firewall_Settings
Es para una 11.0 pero quizá siga vigente en la 11.2.
por otra parte, ¿cuál de los dos modos es mejor? y que diferencia hay...
La wikipedia lo explica bastante bien:
http://es.wikipedia.org/wiki/File_Transfer_Protocol#Modos_de_conexi.C3.B3n_d...
Y en la versión inglesa, lo resumen:
*** (...)
FTP can be run in active mode or passive mode, which control how the second connection is opened.
In active mode the client sends the server the IP address port number that the client will use for the data connection, and the server opens the connection.
Passive mode was devised for use where the client is behind a firewall and unable to accept incoming TCP connections. The server sends the client an IP address and port number and the client opens the connection to the server.[3]
Both modes were updated in September 1998 to add support for IPv6 and made some other changes to passive mode, making it extended passive mode [5]. ***
El modo pasivo es más fácil para el cortafuegos del cliente, pero se complica en el servidor. Y el modo activo es al revés. El problema es tener que abrir un segundo puerto aleatorio para la conexión de datos, puerto que se decide durante la conexión, por lo que el cortafuegos lo desconoce. O bien se usa un modulo de seguimiento de conexión (ftpcontrack como se llame), o en el daemon reservas una serie de puertos fijos para datos, y abres permanentemente esos puertos en el cortafuegos.
- -- Cheers / Saludos,
Ok. Ya lo comprendo... gracias! Marc -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Sábado 12 Junio 2010, Marc ct escribió:
Hola,
Tengo en opensuse 11.2 el servicio de ftp encendido. El firewall de opensuse también lo tengo activo y con el puerto 21 abierto. Pero.., si desde una máquina remota intento conectar esta conecta pero no llega a listar los ficheros (se 'cuelga'). Para que funcione tengo que conectar en modo 'activo' en lugar de modo 'pasivo'. Si apago el firewall entonces puedo conectar en modo pasivo sin problemas..
* No se si no sera culpa de varias cosas, di cual es tu configuracion de router y si monopuesto o multipuesto en el router. * Configura en el fichero de configuracion del ftp, ip publica, modo pasivo y rango de puertos pasivos y control. * En el cortafuegos abre, puerto de control, datos y rango de puertos pasivos.
¿A que es debido esto?
* Ya te digo que puede ser una combinacion de cosas, da mas datos.
por otra parte, ¿cuál de los dos modos es mejor? y que diferencia hay... ?
* El ftp pasivo informa al cliente del rango de puertos del servidor para las tranferencias, esto es necesario en la mayoria de los casos, ya que el cliente no controla la apertura de sus puertos o no los va a ir abriendo cuando conecta, tipicamente cliente detras de un router en multipuesto, cliente dentro de una red, detras de un cortafuegos, etc ... * En el activo el cliente debe utilizar sus puertos X, si estos estan cerrados pues no puede. * En principio hay opiniones sobre que es mejor, el activo es mas seguro para el servidor, pero en la practica es inviable para dar servicios a "clientes", por el asunto de que los clientes no controlan habitualmente las redes en donde estan, y con que "algunos" no puedan conectar ya tienes que colocarlo en ambos modos o en modo pasivo, la regla general para servidores digamos globales es pasivo, si lo tuyo es algo domestico o controlaras los clientes pues activo o ambos (si no puedo pasivo pasa a activo).
participants (5)
-
Camaleón
-
carlopmart
-
Carlos E. R.
-
jose maria
-
Marc ct