[cancellato]
- Modificato
Troppe porte aperte. La 80 è di solito per HTTP, e non per FTP, averla aperta apre a possibili attacchi su eventuali server su quella porta. La 81 serve solo se c'è qualcosa esplicitamente in ascolto su quella porta (e che sia necessario accedere dall'esterno).
Il comportamento di FTP cambia se si usa la modalità passiva od attiva.
Per configurare FTP passivo, che non richiede di aprire porte sul client, devi:
- Aprire la porta 21 per il canale di controllo di FTP
- Aprire un intervallo di porte TCP (non UDP, FTP non lo usa) per permettere ai client FTP di connettersi, il server FTP indicherà di volta in volta quale porta usare. Le stesse porte devono essere configurate sul server FTP per l'uso con FTP passivo.
- Dietro ad un NAT può essere necessario configurare il server FTP per conoscere l'IP pubblico.
Non aprire un intervallo eccessivo, è solo un rischio per la sicurezza, ci possono essere servizi vulnerabili già in ascolto su quelle porte. Serve solo una porta per ogni connessione. A meno che non prevediate di avere migliaia di connessioni bastano poche decine di porte, meglio scelte fra le porte "dinamiche" (da 49152 a 65535).
Attenzione che FTP trasmette le password in chiaro e i file in chiaro. Per proteggerli è necessario configurare il server con TLS (FTPS).