Che porte del router bisogna aprire se ci si collega ad un FTP esterno??????

GianniRossi

Un mio amico ha creato un ftp tramite un NAS aprendo le seguenti porte:
20:21 TCP
80:81 TCP
1024:65535 UDP
ora la mia domanda è un'altra per chi deve entrare da lui per prendere o dare dei file deve aprire delle porte specifiche nel proprio router oppure non serve??

od1n0

GianniRossi non serve se sei il client

giamma1295

GianniRossi 20:21 TCP

queste sono le porte di ftp, se ti devi collegare soltanto e non hostarlo, non devi aprire nulla, solo chi hosta deve aprirle!

[cancellato]

GianniRossi

Troppe porte aperte. La 80 è di solito per HTTP, e non per FTP, averla aperta apre a possibili attacchi su eventuali server su quella porta. La 81 serve solo se c'è qualcosa esplicitamente in ascolto su quella porta (e che sia necessario accedere dall'esterno).

Il comportamento di FTP cambia se si usa la modalità passiva od attiva.

Per configurare FTP passivo, che non richiede di aprire porte sul client, devi:

Aprire la porta 21 per il canale di controllo di FTP
Aprire un intervallo di porte TCP (non UDP, FTP non lo usa) per permettere ai client FTP di connettersi, il server FTP indicherà di volta in volta quale porta usare. Le stesse porte devono essere configurate sul server FTP per l'uso con FTP passivo.
Dietro ad un NAT può essere necessario configurare il server FTP per conoscere l'IP pubblico.

Non aprire un intervallo eccessivo, è solo un rischio per la sicurezza, ci possono essere servizi vulnerabili già in ascolto su quelle porte. Serve solo una porta per ogni connessione. A meno che non prevediate di avere migliaia di connessioni bastano poche decine di porte, meglio scelte fra le porte "dinamiche" (da 49152 a 65535).

Attenzione che FTP trasmette le password in chiaro e i file in chiaro. Per proteggerli è necessario configurare il server con TLS (FTPS).

Braccoz

porte da aprire per un server ftp tradizionale:

21 TCP
un range a piacere, generalmente tra valori alti, di porte sempre TCP (es: 45600-46600)

io sconsiglierei comunque di usare la 21 tcp e sceglierei come porta un'altra, sempre in range alto, e utilizzerei un TLS implicito per maggior sicurezza

juststupid

Se lo scopo del tuo amico è permettere solo il download di file sarebbe meglio un server http o https in quanto quel protocollo passa senza rogne attraverso i firewall ed è supportato dai browser. (Supporto Ftp verrà eliminato da chrome). Se lo scopo NON è una condivisione indiscriminata allora resto della idea che sia il caso di creare una vpn criptata tenendo conto che la maggior dei NAS di oggi permettono questa funzionalità in modo intuitivo.

GianniRossi

[cancellato] tu dici che queste 1024:65535 in UDP sono troppe e di spostarle in TCP?
Comunque l'ftp è collegato ad un nas esterno non so se cambia qualcosa per i tuoi consigli!!!

edofullo

GianniRossi tu dici che queste 1024:65535 in UDP sono troppe e di spostarle in TCP?

Toglile del tutto che non servono a nulla.

Apri un range a caso in TCP (tipo 45000-45010) per l'FTP che poi dovrai specificare nelle impostazioni del server ftp.

Ma devi proprio usare FTP?

[cancellato]

GianniRossi tu dici che queste 1024:65535 in UDP sono troppe e di spostarle in TCP?

Sì, tutte quelle porte sono troppe - probabilmente il NAS ha persino dei servizi attivi su qualcuna di quelle porte che se esposti possono essere attaccabili, perché ci sono ormai molti servizi che usano porte sopra la 1024.

Devi usare porte TCP o FTP non funziona. Come detto sopra, con FTP passivo serve una porta per ogni connessione contemporanea. Interveall elevati di porte vengono impostati solo su server FTP dedicati che devono servire migliaia di utenti in contemporanea, e dove ci si assicura che non ci possono essere altri servizi attivi su quelle porte.

GianniRossi Comunque l'ftp è collegato ad un nas esterno non so se cambia qualcosa per i tuoi consigli!!!

"Esterno" in che senso? Che è una macchina a parte? Non cambia nulla.

GianniRossi

[cancellato] esterno dicevo per farti capire che è una cosa a parte perché si possono creare anche ftp interni ai propri computer senza usare i nas credo.
Allora apro solo la 21 in TCP togliendo la 20,80 e 81 e una serie di porte dinamiche da 49152 a 65535 sempre in TCP giusto?

[cancellato]

GianniRossi si possono creare anche ftp interni ai propri computer senza usare i nas credo.

Sì, certo, un server FTP è un software che puoi installare dove vuoi. Ma se vuoi fare accedere qualcuno dall'esterno non cambia nulla per quanto riguarda le porte da aprire. Il criterio deve rimanere quello di aprire solo quanto strettamente necessario. Altrimenti ti esponi solo a rischi inutili, che sia il tuo PC o un NAS dedicato. C'è chi fa scan continui per scoprire servizi vulnerabili, ci si fanno soldi con le macchine compromesse, specialmente quelle che sono sempre accese.

GianniRossi Allora apro solo la 21 in TCP togliendo la 20,80 e 81 e una serie di porte dinamiche da 49152 a 65535 sempre in TCP giusto?

Giusto. Poi le stesse porte che apri sul router devono essere configurate come porte disponibili per l'FTP passivo sul server FTP (ci sarà sul NAS da qualche parte una pagina dove fare questa configurazione). Così che il server FTP possa aprire una di quelle porte quando un client si connette, e comunicare al client automaticamente di usare quella porta per i trasferimenti di file.

GianniRossi

[cancellato] Ma esiste un Nas oppure una cosa simile ma più facile da usare senza aprire porte e cose varie nei router dove uno può condividere delle cose con un altro con una semplice cartella e al massimo una password per proteggerla???

texd86

ma perchè non usare sftp, che è criptato ed usa una porta statica (22 TCP)?

GianniRossi

texd86 ci capisco poco e non saprei usarlo

texd86

GianniRossi ma guarda che con sftp puoi usare winscp che è un client facilissimo da usare...

[cancellato]

GianniRossi

Il problema non è il NAS. È il NAT del router che agisce implicitamente da firewall, bloccando le connessioni in ingresso. E questo è un bene, dal punto di vista della sicurezza.

Volendo puoi mettere il NAS in DMZ, e automaticamente tutte le porte sono aperte. Poi però se qualcuno trova un servizio vulnerabile e compromette il NAS, scaricando/criptando/cancellando i vostri dati e utilizzandolo poi per i suoi scopi (botnet, spam, ransomware, ecc.) non potete lamentarvi.

Come consiglia texd86, si può usare SFTP (se il NAS lo supporta, ma è probabile) che è automaticamente più sicuro e facile da configurare - basta aprire la sola porta 22.

Va fatta attenzione però che l'autenticazione è la stessa di SSH, e chi ha la password potrebbe accedere anche ad una shell di comando del NAS, se l'utente ha permessi troppo elevati, la password non è sicura (e non si usano le chiave SSH), e non si configura una root che impedisca di accedere a qualsiasi file, ci si espone a qualche rischio.

Oppure usare WebDAV (sulla porta 80, o meglio con connessioni TLS sulla 443).

Ogni protocollo ha i suoi pro e i suoi contro.

GianniRossi dove uno può condividere delle cose con un altro con una semplice cartella e al massimo una password per proteggerla???

Oggi il modo più semplice per farlo è usare DropBox/OneDrive/GoogleDrive/ecc. Se vuoi offrire servizi da una tua macchina devi inevitabilmente capire come configurarla e come proteggerla da accessi indesiderati.

Altrimenti nel giro di poco tempo ti trovi una macchina compromessa. Uomo avvisato....

Cricco95

GianniRossi Google Drive

GianniRossi

[cancellato] A me avevano suggerito per non combattere troppo con le porte da aprire nel router un tipo di nas che si appoggia a dei server tramite un programma che installandolo da tutte e due i computer hai un libero accesso di condividere cartelle anche protette da password, un pò come funziona teamviever per l'accesso remoto che non devi aprire nessuna porta e sis entra ovunque basta che si installa nel computer!!!

[cancellato]

texd86

Anche FileZilla e molti altri client nati per FTP ormai supportano anche SFTP. Attenzione ai permessi di accesso, però.

[cancellato]

GianniRossi me avevano suggerito per non combattere troppo con le porte da aprire nel router un tipo di nas che si appoggia a dei server tramite un programma che installandolo da tutte e due i computer

Probabilmente i due client creano una connessione con un server esterno che fa da intermediario, quindi non essendoci connessioni create dall'esterno non hai bisogno di aprire porte. Devi fidarti del server esterno, e sono applicazioni/protocolli proprietari che richiedono il loro specifico client. Quindi o quel tipo di software/servizio è supportato dal NAS che usi, o se non puoi installarcelo dovresti usare un altro PC che faccia da ponte.

A quel punto fai prima con DropBox & C. A meno che tu non voglia condividere parecchi GB (se non TB) gratis...

GianniRossi poi ha una interfaccia grafica che puoi vedere solo sui vecchi windows 7 o vista

Già solo questo fa pensare che il firmware sia ormai obsoleto. Da quello che vedo ci sono diverse versioni del NAS, e quelle più vecchie parrebbero avere firmware non aggiornati da anni. Esporli su Internet potrebbe essere rischioso, specialmente se fatto un po' alla carlona.

texd86

Se ci dici che tipo di NAS hai, magari possiamo guidsarti ad attivare un bel server SFTP, da poter poi usare in sicurezza per trasferie file, senza esporre mezza rete su internet

GianniRossi

texd86 è un netgear readynas nv+ ma complicatissimo da settare e poi ha una interfaccia grafica che puoi vedere solo sui vecchi windows 7 o vista appunto lo vogliamo cambiare con una cosa molto più facile da utilizzare.

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile