Итак, я знаю, как все это настроить, и есть множество других постов с инструкциями. Однако у меня есть более конкретный вопрос:
Есть ли СТАНДАРТНЫЙ диапазон портов для использования при прослушивании пассивного FTP-сервера? Например, очевидно, что я не хочу использовать 22-1000 или что-то в этом роде. Помимо простого использования знаний о том, что еще запущено на моей машине, как мне определить, какие порты использовать? Я видел здесь предлагаемый диапазон 5000-5010, например.
Еще один бонусный вопрос. Есть ли рекомендуемое КОЛИЧЕСТВО портов для открытия? Filezilla просто предлагает весь диапазон от 0 до 65535 без каких-либо указаний (или я их не нашел) относительно того, какой диапазон или сколько портов использовать.
решение1
Стандарты протокола FTP
Что касается неаутентифицированного доступа, разрешенного для подключения к вашему FTP-серверу через открытый порт канала данных на прослушивающем FTP-сервере в соответствии сRFC959:
-
сервер-ПИ
Интерпретатор протокола сервера «слушает» порт L на предмет подключения от пользовательского PI и устанавливает контрольное коммуникационное соединение. Он получает стандартные команды FTP от пользовательского PI, отправляет ответы и управляет серверным DTP.
Это означает, что прослушивающий FTP-сервер должен следовать стандартному протоколу FTP-сервера, поэтому, если ваш FTP-сервертребуется аутентификациято он разрешит соединение только через открытый пассивный порт, который он выбрал для использования в качестве канала передачи данных после установки аутентификации пользователя-PI.
-
контрольное соединение
Коммуникационный путь между USER-PI и SERVER-PI для обмена командами и ответами. Это соединение следует протоколу Telnet.
ПИ
Интерпретатор протокола. Пользовательская и серверная стороны протокола имеют различные роли, реализованные в пользовательском PI и серверном PI.
FTP-безопасность
Использование простого FTP для связи и обмена данными небезопасно, поскольку все, кто может читать пакеты, может видеть ваши данные, поэтому рассмотрите возможность использованияSSH-FTP-серверилиFTP-SSL-протоколдля добавления шифрования на этом уровне.
Кроме того, согласноRFC959:
-
Протокол требует, чтобы управляющие соединения были открыты во время передачи данных.
Передача данных выполняется. Пользователь несет ответственность за запрос закрытия управляющих соединений после завершения использования FTP-сервиса, в то время как сервер выполняет это действие. Сервер может прервать передачу данных, если управляющие соединения закрываются без команды.
Поэтому убедитесь, что FTP-сервер настроен на короткий период ожидания, и это должно помочь быстрее закрыть отключенные пользовательские сеансы и порты каналов данных.
Безопасность порта
Рассмотрите возможность использования большого диапазона портов, например, 40000-45000и настройте правила сетевого устройства брандмауэра так, чтобы разрешать трафику поступать только на FTP-сервер, а также пропускать все пакеты через сканер пакетов для обнаружения вторжений и т. д., чтобы пресечь распространенные схемы атак и т. п.
По возможности не используйте общие порты и смотритеСписок номеров портов TCP и UDP.
Убедитесь, что FTP-сервер еще больше заблокировал порты, доступ к которым вы разрешаете из Интернета с помощью правил брандмауэра на уровне ОС, отключите ненужные службы и убедитесь, что вы не используете порты в пассивном диапазоне, которые вы используете для других служб, прослушивающих этот сервер.
Безопасность FTP-сервера FileZilla
ПрочитайтеУкрепить FTP-сервер FileZillaпубликуйте и пользуйтесь этими функциями безопасности.