none
WIN2008 - pubblicare FTP TLS [forse ot?] RRS feed

  • Discussione generale

  • Buongiorno a tutti,
    ho un server windows 2008 accessibile via internet via FTP (iis 7.5)
    Voglio che la comunicazione sia crittografata, quindi ho configurato la crittografia tls di IIS.

    Via LAN funziona tutto perfettamente.
    Via internet invece si pone un problema ad attraversare il firewall (che è un affare basato su iptables)
    Io credo che il problema sia che in una comunicazione normale il firewall riesca a capire quale porta dati si deve usare e consente il traffico su quella porta. Se invece questa comunicazione è crittografata non riesce.

    Ho provato a impostare da iis di richiedere la crittografia solo per le credenziali ma comunque non funziona. Credo che "richiedi solo per credenziali" implichi che se il client continua la transazione con la crittografia il server la accetta, e probabilmente i client non sono così versatili da usare la crittografia solo per le credenziali.

    Attualmente dal firewall sto girando solo la porta 21, in precedenza ho provato con 20+21 ma non faceva differenza.

    Togliendo la crittografia invece funziona tutto perfettamente.

    Come viene gestita normalmente questa situazione?
    C'è maniera eventualmente di fissare a IIS un range di porte limitato per il canale dati e pubblicare solo quelle?

    E in ultimo, io ho visto che nessun client di windows né command line né quello di explorer supportano ftp/tls. Sfugge qualcosa a me o effettivamente bisogna necessariamente appoggiarsi a un client sviluppato da altri?
    Che magari sul proprio pc disturba poco, ma se si comuncia a lavorare con tanti pc in giro o bisogna accedere da un server diventa fastidioso.

    Grazie

    Roberto

    • Tipo modificato Anca Popa venerdì 25 febbraio 2011 06:35 in attesa di ulteriori feedback/ in ricerca di una soluzione
    venerdì 18 febbraio 2011 14:31

Tutte le risposte

  • Buongiorno rrrroberto,

    Prova con la porta 990, altrimenti anche la 989 come indicato nel prospetto seguente:

    - 20, 21 (FTP Standard).
    - 22 (SSH) 
    - 989 (Ftp protocol, data, over TLS/SSL)
    - 990 (Ftp protocol, control, over TLS/SSL)
    - 60000 a 60100 (Porte designate per il trasferimento passivo).

     

    Fammi sapere. 

    Ciao

    venerdì 18 febbraio 2011 14:43
  • hai provato con la porta 22 ?

    http://serverfault.com/questions/74176/what-port-does-sftp-use


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 18 febbraio 2011 14:44
    Moderatore
  • Il consiglio che viene dato, qui da Steve Schofield (MVP su IIS) è di usare la 21 con SSL e porte PASV

    http://weblogs.asp.net/steveschofield/archive/2009/05/15/configure-passive-pasv-ports-for-ftp-7.aspx

    proprio perchè le altre soluzioni (porta 990 e simili) risultano difficili da impiegare con i firewall

    Prova le varie soluzioni e dacci un feedback :-P


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 18 febbraio 2011 15:56
  • In tutta onestà lascerei perdere IIS a favore di un software che sia stato progettato per il solo servizio FTP.  i.e. Filezilla Server

     


    Unix is Better!
    domenica 20 febbraio 2011 15:44
  • Fabioo: provato ad aprire tutte le porte come hai indicato ma non è servito. Quelle porte 60000-60100 sono standard di iis che tu sappia? O sono usate convenzionalmente per ftp in generale?

    Edoardo: sì ho provato ma non è il nostro caso, iis non utilizza sftp che invece è un protocollo usato in genere da linux per fare file transfer su ssh. iis utilizza ftps o ftp/tls o ftp su ssl, insomma già dal fatto che non si riesca a capire come si chiama fa capire che c'è un po' di confusione sul protocollo :)

    Fabrizio: io ho provato a utilizzare questa soluzione (che a pelle mi piaceva di più perché faceva rierimento specificamente a iis) ma ancora non funziona.

    Prove fatte:

    - aperta porta 22

    - aperte porte 990, 989, 60000-60100 (sia su firewall della rete che su firewall di 2008)

    - la porta 20 era già aperta

    - impostato ip esterno in gestione firewall iis + impostate porte 4900+4910 come in esempio per trasferimento dati. per le porte a livello di sito non mi ha permesso di farlo ho dovuto impostarle nel server. + aperto porte 4900-4910

    - forzato il client per utilizzare ftp passivo

    risultato: non cambia niente.

     

    lunedì 21 febbraio 2011 11:11
  • rrrroberto, la proposta di "Unix is Better" è una possibilità (Filezilla svolge bene il ruolo di FTP sicuro anche su Windows) per cui non la ritengo "offensiva".

    Riguardo la soluzione su IIS, hai letto anche i due articoli "introduttivi" alla soluzione, relativi ad FTP 7.5 e ai certificati ?

    Non vorrei mancasse qualche passaggio....

     


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 21 febbraio 2011 11:30
  • Sì ho verificato anche i primi passaggi, ma di quelli sono sicuro perché via LAN, quindi senza passare dal firewall, si collega, e sicuramente sta utilizzando FTPS perché il client è impostato per collegarsi solo con SSL e rifiutare connessioni non protette.

    La risposta di Unix is Better non è una soluzione. Ci sono molti server FTP validi in giro.
    Ma passare da IIS a Filezilla non sposterebbe il problema di una virgola, perché si porrebbe identicamente il problema di pubblicare il traffico ftp ssl attraverso il firewall, che nella fattispecie, è iptables su linux, per dimostrare che siamo aperti a tutto :) Ma sarebbe identico il problema anche se fosse un appliance Cisco o altro.

    lunedì 21 febbraio 2011 11:57
  • credo che la risposta ai tuoi dubbi stia qui

    Firewall incompatibilities

    Because FTP utilizes a dynamic secondary port (for data channels), many firewalls were designed to snoop FTP protocol control messages in order to determine what secondary data connections they need to allow. However, if the FTP control connection is encrypted using TLS/SSL, the firewall cannot determine the TCP port number of a data connection negotiated between the client and FTP server.

    Therefore, in many firewalled networks, an FTPS deployment will fail when an unencrypted FTP deployment will work, but this problem can be solved with the use of a limited range of ports for data and configuring the firewall to open these ports.

    from: http://en.wikipedia.org/wiki/FTPS


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 21 febbraio 2011 12:49
    Moderatore
  • Si Edoardo, credo proprio che il problema sia quello infatti in apertura del thread dicevo: "Io credo che il problema sia che in una comunicazione normale il firewall riesca a capire quale porta dati si deve usare e consente il traffico su quella porta. Se invece questa comunicazione è crittografata non riesce."

    Il punto è come fare a spiegare a IIS a utilizzare un range di porte specifico per il canale dati.
    La risposta più adeguata credo che rimanga quella di Fabrizio ed è la strada che vorrei percorrere.
    C'è ancora qualcosa che non funziona ed è quello che sto cercando di capire (col vostro sempre prezioso e tempestivo supporto!)

    lunedì 21 febbraio 2011 12:56
  • Ultima domanda:

    Che tipo di firewall possiedi?

    Ciao

    lunedì 21 febbraio 2011 13:01
  • iptables su una macchina linux

    lunedì 21 febbraio 2011 13:10
  • La risposta più adeguata credo che rimanga quella di Fabrizio ed è la strada che vorrei percorrere.
    C'è ancora qualcosa che non funziona ed è quello che sto cercando di capire (col vostro sempre prezioso e tempestivo supporto!)


    tieniti sottomano anche questo thread

    http://serverfault.com/questions/50289/ftp-ssl-in-passive-mode-with-portrange-which-ports-has-to-be-open-on-the-firewal
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 21 febbraio 2011 13:47
    Moderatore
  • Prova a guardare questo link:

    http://ubuntuforums.org/showthread.php?t=162404

     

    Fammi sapere

    martedì 22 febbraio 2011 15:46
  •  

    Ciao rrrroberto,

     

    Innanzitutto vorrei ringraziare tutti dell'aiuto.

     

    Ho modificato questo thread in "Commento" perché non abbiamo ricevuto le informazioni richieste.

     

    Se hai più di tempo per esaminare il problema e darci maggiori dettagli, rimaniamo in attesa dei tuoi commenti.

     

    Se il problema è stato risolto, vorrei chiederti di condividere la soluzione sul forum, in modo che la risposta possa essere trovata e utilizzata dagli altri utenti che hanno domande simili. 

     

    Grazie!


    Anca Popa Follow ForumTechNetIt on Twitter

    Dov'è finito l'event ID 1221 in Exchange Server 2010?  

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    venerdì 25 febbraio 2011 06:35
  • Ciao Anca Popa,

    il problema ancora non è risolto, dovrei rifare il sito ftp da zero e in questi giorni sono fuori ufficio.
    Appena posso riprovo.
    Ciao

    Roberto

    venerdì 25 febbraio 2011 08:19