Un mio amico ha creato un ftp tramite un NAS aprendo le seguenti porte:
20:21 TCP
80:81 TCP
1024:65535 UDP
ora la mia domanda è un'altra per chi deve entrare da lui per prendere o dare dei file deve aprire delle porte specifiche nel proprio router oppure non serve??

    queste sono le porte di ftp, se ti devi collegare soltanto e non hostarlo, non devi aprire nulla, solo chi hosta deve aprirle!

    porte da aprire per un server ftp tradizionale:

    21 TCP
    un range a piacere, generalmente tra valori alti, di porte sempre TCP (es: 45600-46600)

    io sconsiglierei comunque di usare la 21 tcp e sceglierei come porta un'altra, sempre in range alto, e utilizzerei un TLS implicito per maggior sicurezza

    Se lo scopo del tuo amico è permettere solo il download di file sarebbe meglio un server http o https in quanto quel protocollo passa senza rogne attraverso i firewall ed è supportato dai browser. (Supporto Ftp verrà eliminato da chrome). Se lo scopo NON è una condivisione indiscriminata allora resto della idea che sia il caso di creare una vpn criptata tenendo conto che la maggior dei NAS di oggi permettono questa funzionalità in modo intuitivo.

    • [cancellato]

    • Modificato

    GianniRossi

    Troppe porte aperte. La 80 è di solito per HTTP, e non per FTP, averla aperta apre a possibili attacchi su eventuali server su quella porta. La 81 serve solo se c'è qualcosa esplicitamente in ascolto su quella porta (e che sia necessario accedere dall'esterno).

    Il comportamento di FTP cambia se si usa la modalità passiva od attiva.

    Per configurare FTP passivo, che non richiede di aprire porte sul client, devi:

    1. Aprire la porta 21 per il canale di controllo di FTP
    2. Aprire un intervallo di porte TCP (non UDP, FTP non lo usa) per permettere ai client FTP di connettersi, il server FTP indicherà di volta in volta quale porta usare. Le stesse porte devono essere configurate sul server FTP per l'uso con FTP passivo.
    3. Dietro ad un NAT può essere necessario configurare il server FTP per conoscere l'IP pubblico.

    Non aprire un intervallo eccessivo, è solo un rischio per la sicurezza, ci possono essere servizi vulnerabili già in ascolto su quelle porte. Serve solo una porta per ogni connessione. A meno che non prevediate di avere migliaia di connessioni bastano poche decine di porte, meglio scelte fra le porte "dinamiche" (da 49152 a 65535).

    Attenzione che FTP trasmette le password in chiaro e i file in chiaro. Per proteggerli è necessario configurare il server con TLS (FTPS).

      [cancellato] tu dici che queste 1024:65535 in UDP sono troppe e di spostarle in TCP?
      Comunque l'ftp è collegato ad un nas esterno non so se cambia qualcosa per i tuoi consigli!!!

        GianniRossi tu dici che queste 1024:65535 in UDP sono troppe e di spostarle in TCP?

        Toglile del tutto che non servono a nulla.

        Apri un range a caso in TCP (tipo 45000-45010) per l'FTP che poi dovrai specificare nelle impostazioni del server ftp.

        Ma devi proprio usare FTP?

        • [cancellato]

        GianniRossi tu dici che queste 1024:65535 in UDP sono troppe e di spostarle in TCP?

        Sì, tutte quelle porte sono troppe - probabilmente il NAS ha persino dei servizi attivi su qualcuna di quelle porte che se esposti possono essere attaccabili, perché ci sono ormai molti servizi che usano porte sopra la 1024.

        Devi usare porte TCP o FTP non funziona. Come detto sopra, con FTP passivo serve una porta per ogni connessione contemporanea. Interveall elevati di porte vengono impostati solo su server FTP dedicati che devono servire migliaia di utenti in contemporanea, e dove ci si assicura che non ci possono essere altri servizi attivi su quelle porte.

        GianniRossi Comunque l'ftp è collegato ad un nas esterno non so se cambia qualcosa per i tuoi consigli!!!

        "Esterno" in che senso? Che è una macchina a parte? Non cambia nulla.

          [cancellato] esterno dicevo per farti capire che è una cosa a parte perché si possono creare anche ftp interni ai propri computer senza usare i nas credo.
          Allora apro solo la 21 in TCP togliendo la 20,80 e 81 e una serie di porte dinamiche da 49152 a 65535 sempre in TCP giusto?

            • [cancellato]

            GianniRossi si possono creare anche ftp interni ai propri computer senza usare i nas credo.

            Sì, certo, un server FTP è un software che puoi installare dove vuoi. Ma se vuoi fare accedere qualcuno dall'esterno non cambia nulla per quanto riguarda le porte da aprire. Il criterio deve rimanere quello di aprire solo quanto strettamente necessario. Altrimenti ti esponi solo a rischi inutili, che sia il tuo PC o un NAS dedicato. C'è chi fa scan continui per scoprire servizi vulnerabili, ci si fanno soldi con le macchine compromesse, specialmente quelle che sono sempre accese.

            GianniRossi Allora apro solo la 21 in TCP togliendo la 20,80 e 81 e una serie di porte dinamiche da 49152 a 65535 sempre in TCP giusto?

            Giusto. Poi le stesse porte che apri sul router devono essere configurate come porte disponibili per l'FTP passivo sul server FTP (ci sarà sul NAS da qualche parte una pagina dove fare questa configurazione). Così che il server FTP possa aprire una di quelle porte quando un client si connette, e comunicare al client automaticamente di usare quella porta per i trasferimenti di file.

              ma perchè non usare sftp, che è criptato ed usa una porta statica (22 TCP)?

                texd86 ci capisco poco e non saprei usarlo

                • texd86 ha risposto a questo messaggio

                  [cancellato] Ma esiste un Nas oppure una cosa simile ma più facile da usare senza aprire porte e cose varie nei router dove uno può condividere delle cose con un altro con una semplice cartella e al massimo una password per proteggerla???

                    • [cancellato]

                    GianniRossi

                    Il problema non è il NAS. È il NAT del router che agisce implicitamente da firewall, bloccando le connessioni in ingresso. E questo è un bene, dal punto di vista della sicurezza.

                    Volendo puoi mettere il NAS in DMZ, e automaticamente tutte le porte sono aperte. Poi però se qualcuno trova un servizio vulnerabile e compromette il NAS, scaricando/criptando/cancellando i vostri dati e utilizzandolo poi per i suoi scopi (botnet, spam, ransomware, ecc.) non potete lamentarvi.

                    Come consiglia texd86, si può usare SFTP (se il NAS lo supporta, ma è probabile) che è automaticamente più sicuro e facile da configurare - basta aprire la sola porta 22.

                    Va fatta attenzione però che l'autenticazione è la stessa di SSH, e chi ha la password potrebbe accedere anche ad una shell di comando del NAS, se l'utente ha permessi troppo elevati, la password non è sicura (e non si usano le chiave SSH), e non si configura una root che impedisca di accedere a qualsiasi file, ci si espone a qualche rischio.

                    Oppure usare WebDAV (sulla porta 80, o meglio con connessioni TLS sulla 443).

                    Ogni protocollo ha i suoi pro e i suoi contro.

                    GianniRossi dove uno può condividere delle cose con un altro con una semplice cartella e al massimo una password per proteggerla???

                    Oggi il modo più semplice per farlo è usare DropBox/OneDrive/GoogleDrive/ecc. Se vuoi offrire servizi da una tua macchina devi inevitabilmente capire come configurarla e come proteggerla da accessi indesiderati.

                    Altrimenti nel giro di poco tempo ti trovi una macchina compromessa. Uomo avvisato....

                      GianniRossi ma guarda che con sftp puoi usare winscp che è un client facilissimo da usare...

                        • [cancellato]

                        texd86

                        Anche FileZilla e molti altri client nati per FTP ormai supportano anche SFTP. Attenzione ai permessi di accesso, però.

                        [cancellato] A me avevano suggerito per non combattere troppo con le porte da aprire nel router un tipo di nas che si appoggia a dei server tramite un programma che installandolo da tutte e due i computer hai un libero accesso di condividere cartelle anche protette da password, un pò come funziona teamviever per l'accesso remoto che non devi aprire nessuna porta e sis entra ovunque basta che si installa nel computer!!!

                          Se ci dici che tipo di NAS hai, magari possiamo guidsarti ad attivare un bel server SFTP, da poter poi usare in sicurezza per trasferie file, senza esporre mezza rete su internet

                            Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                            P.I. IT16712091004 - info@fibraclick.it

                            ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile