none
FTP - Multipli

    Domanda

  • Buonasera,

    mi sono perso probabilmente in un bicchier d' acqua.

    In pratica con windows server 2008 e IIS6 ho aperto un ftp in modo che i miei clienti da fuori possano accedere ad server per caricarsi e scaricarsi dei file

    Adesso dovrei aprire un secondo FTP per i clienti che accedendono a una cartella ne scaricano il contenuto.

    Ho aperto IIS 6 ho fatto tutto come il precedente, ho dato una porta diversa, ho aperto il router ad accettare chiamate su quella porta ma al momento che con un browser chiamo il mio ftp sulla porta nuova mi compare la richiesta utente e password. Una volta inserito compare l' errore "425 can't open data connession

    Che succede? - Ho letto qualcosa relativo alle porte passive / attive ma pur applicando alcune info trovate non funziona

    Cosa posso fare?

    Grazie


    Sergio Ornaghi
    giovedì 19 maggio 2011 16:48

Risposte

  • In pratica con windows server 2008 e IIS6 ho aperto un ftp in modo che
    i miei clienti da fuori possano accedere ad server per caricarsi e
    scaricarsi dei file

    Si tratta di un FTP anonimo ? O hai creato degli accounts per ciascun
    utente (ok, cliente nel tuo caso) richiedendo l'autenticazione ?

    Adesso dovrei aprire un secondo FTP per i clienti che accedendono
    a una cartella ne scaricano il contenuto.

    Invece di aprire "un secondo FTP" usa semplicemente il primo e crea
    una cartella "root" separata ed uno o più accounts utente con accesso
    a tale cartella

    al momento che con un browser chiamo il mio ftp sulla porta nuova mi
    compare la richiesta utente e password. Una volta inserito compare l'
    errore "425 can't open data connession

    Semplice; la maggioranza dei firewalls e router gestiscono senza troppi
    problemi il traffico FTP su porte standard; i problemi nascono nel caso
    di traffico su porte "non standard" (come nel tuo caso) e siccome tali
    problemi potrebbero essere anche dovuti ad un firewall/router posto sul
    lato "remoto" della connessione (ossia non sul TUO lato), l'uso di FTP
    su porte diverse dalle standard è vivamente sconsigliato

    venerdì 20 maggio 2011 06:55
  • su quale porta hai messo in ascolto il secondo server ftp ?

    non potevi lasciare la stessa porta del primo ed aggiungere un secondo ip ? semmai cambiavi la porta pubblica del nat.

    inoltre su win2k8 c'è IIS 7 e non il 6.

     


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 20 maggio 2011 09:02
    Moderatore
  • Per Benussi: Ho provato sia la porta 221 sia una porta 60001 seguendo un articolo che era stato suggerito attraverso il forum a un altra richiests. In entrambi i casi ho provveduto ad aprire le relative porte sia sul router che sul firewall di SBS

    volevo sapere la porta per capire se avevi aperto e nattato anche la porta immediatamente precedente perchè di solito i server ftp che usano la porta x per l'ftp-command, usano la porta (x-1) per l'ftp-data.

    possiamo però evitare tutto questo ragionamento se tu continui ad usare la porta 21 ed usi un ip diverso sia lato lan sia lato wan.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 20 maggio 2011 14:04
    Moderatore
  • volevo sapere la porta per capire se avevi aperto e nattato anche
    la porta immediatamente precedente perchè di solito i server ftp
    che usano la porta x per l'ftp-command, usano la porta (x-1) per
    l'ftp-data.

    Non è che sia "di solito" è proprio dettato dalla RFC, in pratica la
    source port usata per la data connection è fissata ad "x-1" (ossia
    nel caso di ftp standard su porta 21 la porta dati è la 20) - c'è però
    da dire una cosa; molti firewalls/routers implementano la logica di
    gestione FTP solo per la porta 21, in pratica tali apparati o s/w
    rilevando una connex verso la porta 21/tcp di un host esterno,
    tengono sotto controllo il traffico e, non appena "vedono" passare
    un comando "PORT" provvedono ad attivare un port forward in
    modo da permettere al client di ricevere o inviare i dati; questo
    però NON vale (molto spesso) nel caso di altre porte; in tali casi
    il firewall permetterà la connessione alla porta X ma non attiverà
    la logica "FTP" quindi, tranne che nel caso di FTP passivo tutte
    le connessioni dati falliranno miseramente

    venerdì 20 maggio 2011 14:26
  • Ciao a tutti,

    volevo comunicarvi che ho risolto il tutto riavviando il firewall, che a quando pare era impallato!

    Grazie,

    Alessandro

    venerdì 25 maggio 2012 08:04

Tutte le risposte

  • In pratica con windows server 2008 e IIS6 ho aperto un ftp in modo che
    i miei clienti da fuori possano accedere ad server per caricarsi e
    scaricarsi dei file

    Si tratta di un FTP anonimo ? O hai creato degli accounts per ciascun
    utente (ok, cliente nel tuo caso) richiedendo l'autenticazione ?

    Adesso dovrei aprire un secondo FTP per i clienti che accedendono
    a una cartella ne scaricano il contenuto.

    Invece di aprire "un secondo FTP" usa semplicemente il primo e crea
    una cartella "root" separata ed uno o più accounts utente con accesso
    a tale cartella

    al momento che con un browser chiamo il mio ftp sulla porta nuova mi
    compare la richiesta utente e password. Una volta inserito compare l'
    errore "425 can't open data connession

    Semplice; la maggioranza dei firewalls e router gestiscono senza troppi
    problemi il traffico FTP su porte standard; i problemi nascono nel caso
    di traffico su porte "non standard" (come nel tuo caso) e siccome tali
    problemi potrebbero essere anche dovuti ad un firewall/router posto sul
    lato "remoto" della connessione (ossia non sul TUO lato), l'uso di FTP
    su porte diverse dalle standard è vivamente sconsigliato

    venerdì 20 maggio 2011 06:55
  • Corretti tutti i consigli di OBI... anche per non complicarsi la vita...

    ma un'ulteriore prova potrebbe essere fatta: Dalla lan il secondo ftp funziona?


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    venerdì 20 maggio 2011 07:46
  • Corretti tutti i consigli di OBI... anche
    per non complicarsi la vita...

    Grazie Adriano; l'alternativa sarebbe attestare un
    secondo IP pubblico a quel server e pubblicare
    la seconda istanza FTP su tale indirizzo IP... ma
    sinceramente, ritengo che la cosa migliore sia
    utilizzare FTP autenticato ed impostare per bene
    le cartelle "home" per i vari accounts

    ma un'ulteriore prova potrebbe essere fatta:
    Dalla lan il secondo ftp funziona?

    Bisognerebbe vedere se il server sia sulla LAN
    o in DMZ dato che nel secondo caso ci sarebbe
    comunque un firewall "in mezzo"

    venerdì 20 maggio 2011 08:44
  • su quale porta hai messo in ascolto il secondo server ftp ?

    non potevi lasciare la stessa porta del primo ed aggiungere un secondo ip ? semmai cambiavi la porta pubblica del nat.

    inoltre su win2k8 c'è IIS 7 e non il 6.

     


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 20 maggio 2011 09:02
    Moderatore
  • inoltre su win2k8 c'è IIS 7 e non il 6.

    vero... c'è da dire, comunque, che quando si tratta di mettere
    in piedi un servizio FTP "pubblicato" preferisco evitare l'uso
    del servizio FTP di IIS; non che non funzioni bene, solo che
    trovo assurdo dover creare degli accounts utente "normali"
    solo per fornire accesso FTP ad entità esterne; è per questo
    motivo che normalmente preferisco usare FileZilla server

    venerdì 20 maggio 2011 10:51
  • Grazie a tutti

    Per Adriano - Sulla rete interna FTP funziona, non funziona sulle chiamate esterne

    Per Benussi: Ho provato sia la porta 221 sia una porta 60001 seguendo un articolo che era stato suggerito attraverso il forum a un altra richiests. In entrambi i casi ho provveduto ad aprire le relative porte sia sul router che sul firewall di SBS

     


    Sergio Ornaghi
    venerdì 20 maggio 2011 13:43
  • Per Adriano - Sulla rete interna FTP funziona, non funziona sulle
    chiamate esterne

    Come volevasi dimostrare; non è FTP che "non funziona" sono
    i firewalls che non "digeriscono" correttamente l'uso di FTP su
    porte diverse dalla 21/tcp

    Per Benussi: Ho provato sia la porta 221 sia una porta 60001

    Che c'entra ? Edoardo ha suggerito di usare un secondo IP non
    una porta alternativa... evidentemente non hai compreso quello
    che ha scritto

    venerdì 20 maggio 2011 13:54
  • Per Benussi: Ho provato sia la porta 221 sia una porta 60001 seguendo un articolo che era stato suggerito attraverso il forum a un altra richiests. In entrambi i casi ho provveduto ad aprire le relative porte sia sul router che sul firewall di SBS

    volevo sapere la porta per capire se avevi aperto e nattato anche la porta immediatamente precedente perchè di solito i server ftp che usano la porta x per l'ftp-command, usano la porta (x-1) per l'ftp-data.

    possiamo però evitare tutto questo ragionamento se tu continui ad usare la porta 21 ed usi un ip diverso sia lato lan sia lato wan.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 20 maggio 2011 14:04
    Moderatore
  • volevo sapere la porta per capire se avevi aperto e nattato anche
    la porta immediatamente precedente perchè di solito i server ftp
    che usano la porta x per l'ftp-command, usano la porta (x-1) per
    l'ftp-data.

    Non è che sia "di solito" è proprio dettato dalla RFC, in pratica la
    source port usata per la data connection è fissata ad "x-1" (ossia
    nel caso di ftp standard su porta 21 la porta dati è la 20) - c'è però
    da dire una cosa; molti firewalls/routers implementano la logica di
    gestione FTP solo per la porta 21, in pratica tali apparati o s/w
    rilevando una connex verso la porta 21/tcp di un host esterno,
    tengono sotto controllo il traffico e, non appena "vedono" passare
    un comando "PORT" provvedono ad attivare un port forward in
    modo da permettere al client di ricevere o inviare i dati; questo
    però NON vale (molto spesso) nel caso di altre porte; in tali casi
    il firewall permetterà la connessione alla porta X ma non attiverà
    la logica "FTP" quindi, tranne che nel caso di FTP passivo tutte
    le connessioni dati falliranno miseramente

    venerdì 20 maggio 2011 14:26
  • Grazie a tutti per i suggerimenti e scusate se non ho risposto prima ma ero preso da altri problemi

    Permettetemi un ultima considerazione, e se il problema fosse Windows Server....

    Vi dico questo perchè da un altro mio cliente per un problema di perdita di corrente mi si è spento il server. Al riavvio il servizio FTP su porta 21 non ha più funzionato. Alla fine lo disattivato e ne ho aperto uno nuovo sulla porta 211. Impostato il router il tutto sta funzionando che è una bellezza.

    Quindi non è Windows che, per evitarsi "problemi" apre solo un FTP.......

    Ripeto è solo una considerazione personale e magari anche sbagliata però la cosa mi lascia un pò stupito

    Grazie ancora a tutti


    Sergio Ornaghi
    martedì 24 maggio 2011 09:01
  • Vi dico questo perchè da un altro mio cliente per un problema di
    perdita di corrente mi si è spento il server. Al riavvio il servizio
    FTP su porta 21 non ha più funzionato. Alla fine lo disattivato e ne
    ho aperto uno nuovo sulla porta 211. Impostato il router il tutto sta
    funzionando che è una bellezza.

    Quindi non è Windows che, per evitarsi "problemi" apre solo un
    FTP.......

    Come ho già scritto NON si tratta di un problema di windows ma
    bensì di un problema relativo ad alcuni (purtroppo non pochi)
    firewalls che non riescono a gestire FTP su porte diverse dalla
    classica 21

    martedì 24 maggio 2011 13:37
  • Ciao,

    io ho un problema simile. Ho un Windows 2003 std r2 con iis6 su cui ho due ftp, uno su porta 21 e l'altro su porta 2121. Fino a ieri a funzionato tutto, l'ftp sulla porta 2121 non mi funziona più e mi da il messaggio "425 Can't open data connection". Ho un firewall watchguard che non è stato modificato in questi giorni, e fino a ieri tutto funzionava correttamente! Cosa può essere? Ho creato anche un nuovo utente con le varie abilitazioni per il sito ftp sulla porta 2121, ma non cambia nulla...

    Grazie, ciao,

    Alessandro

    mercoledì 23 maggio 2012 11:42
  • mercoledì 23 maggio 2012 12:17
    Moderatore
  • io ho un problema simile. Ho un Windows 2003 std r2 con iis6 su cui ho due ftp, uno su porta 21 e l'altro su porta 2121. Fino a ieri a funzionato tutto, l'ftp sulla porta 2121 non mi funziona più e mi da il messaggio "425 Can't open data connection". Ho un firewall watchguard che non è stato modificato in questi giorni, e fino a ieri tutto funzionava correttamente! Cosa può essere? Ho creato anche un nuovo utente con le varie abilitazioni per il sito ftp sulla porta 2121, ma non cambia nulla...

    Si tratta dello stesso, identico problema; sebbene non sia vietato usare una porta diversa dalla 21 per FTP, molti (moltissimi) firewalls NON gestiscono le sessioni FTP se queste non usano la normale porta 21; in particolare il problema è dovuto al fatto che FTP usa la porta 21/tcp solo per la connessione "comandi" mentre le porte usate per le varie connessioni "dati" (vengono usate anche semplicemente per l'elenco dei files di una cartella) sono dinamiche; a questo punto se un firewall (lato server o lato client - ed in quest'ultimo caso totalmente al di fuori del controllo di chi gestisce il server) NON riesce a gestire connessioni FTP su porte diverse dalla 21, iniziano i problemi. L'unica soluzione è quella di usare UN solo FTP per un dato indirizzo IP, configurando opportunamente le utenze o, se ciò non fosse possibile, di usare indirizzi IP multipli effettuando poi il binding della porta 21 di ciascun server ad un ben definito indirizzo IP.

    mercoledì 23 maggio 2012 12:46
  • Ciao Obiwan e ciao Edoardo.

    Grazie per la vostra risposta. Ho visionato entrambi i link, e l'unica cosa che mi manca da provare è il riavvio del router... che un pò mi complica le cose perchè ho client collegati anche esteri che sono collgati ai server ad orari completamente differenti da quelli italiani. Ho provato tutto il resto ma il problema mi rimane... ora dovrò programmare un riavvio del router (da remoto) e vedere se questo risolve le cose.

    Per il discorso firewall, il nostro firewall supporta sessioni ftp anche su porte non standard (21), ed ha funzionato fino a ieri!

    Vi aggiorno appena ho fatto il test di riavvio del router (se riesco).

    Grazie, ciao,

    Alessandro

    mercoledì 23 maggio 2012 13:09
  • Grazie per la vostra risposta. Ho visionato entrambi i link, e l'unica cosa che mi manca da provare è il riavvio del router... che un pò mi complica le cose perchè ho client collegati anche esteri che sono collgati ai server ad orari completamente differenti da quelli italiani. Ho provato tutto il resto ma il problema mi rimane... ora dovrò programmare un riavvio del router (da remoto) e vedere se questo risolve le cose.

    Per il discorso firewall, il nostro firewall supporta sessioni ftp anche su porte non standard (21), ed ha funzionato fino a ieri!

    Il problema non è solo il VOSTRO router/firewall ma anche quello del client che si connette al vostro server (e su quello NON avete controllo); ripeto, evita di usare una porta alternativa per FTP e configura il server per lavorare sulle porte standard, configurando poi in modo appropriato le cartelle accessibili a ciascun account; si tratta della soluzione migliore e ti permetterà di evitare problemi.

    mercoledì 23 maggio 2012 13:25
  • Ciao a tutti,

    volevo comunicarvi che ho risolto il tutto riavviando il firewall, che a quando pare era impallato!

    Grazie,

    Alessandro

    venerdì 25 maggio 2012 08:04
  • Ciao Alessandro,

    Grazie per averci fatto sapere, a volte le soluzioni più semplici sono anche le più funzionali :-)

    Grazie a tutti della partecipazione nel forum,


    Anca Popa Follow ForumTechNetIt on Twitter

    La Conferenza Italiana sulla Virtualizzazione

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    venerdì 25 maggio 2012 08:27
    Proprietario