none
Problemas com Firewall e FTP Passivo RRS feed

  • Pergunta

  • Pessoal,

     

    estou com um problema muito estranho, tenho um servidor WEB com 2 IPs públicos na mesma placa de rede, neste servidor tenho 2 endereços FTPs, os 2 funcionam perfeitamente ao mesmo tempo, porem neste servidor eu estou usando o Firewall do próprio Windows então eu liberei as portas e programas que há necessidade, então quando eu habilito o firewall um dos FTPs para de funcionar no modo passivo, so ai já é estranho porque se o firewall bloqueia um IP iria bloquear o outro tb, estão na mesma placa de rede, bom o que foi feito, defini as portas para o FTP passivo e liberei essas portas no firewall restartei o servidor do IIS, mesmo assim não funcionou um dos FTPs, se eu desabilito o firewall entao funciona. Alguem ja viu isso?

    Outro detalhe importante, para testar se o range de portas que eu defini funcionou eu usei o FlashFXP para se conectar no FTP, la mostra a porta, e ele mostra o seguinte, com o firewall desabilitado ele se conecta na porta correta, se habilito o firewall ele tenta se conectar em outra porta q nao defini 5000, eu defini a porta 5500 até 5700.

    Abaixo vou colocar os logs q o FlashFXP exibe ao tentar se conectar. no final ele consegue porque ele automaticamente muda o modo, mas outros nao fazem isso.

     

    WinSock 2.0 -- OpenSSL 0.9.8g 19 Oct 2007
    [R] Connecting to srv4.ibesp.org.br -> DNS=ftp4.ibesp.org.br IP=74.118.192.189 PORT=21
    [R] Connected to srv4.ibesp.org.br
    [R] 220 Microsoft FTP Service
    [R] USER administrator
    [R] 331 Password required for administrator.
    [R] PASS (hidden)
    [R] 230 User administrator logged in.
    [R] SYST
    [R] 215 Windows_NT
    [R] FEAT
    [R] 211-FEAT
    [R]   SIZE
    [R]   MDTM
    [R] 211 END
    [R] PWD
    [R] 257 "/" is current directory.
    [R] TYPE A
    [R] 200 Type set to A.
    [R] PASV
    [R] 227 Entering Passive Mode (74,118,192,189,19,142).
    [R] Opening data connection IP: 74.118.192.189 PORT: 5006
    [R] Data Socket Error: Connection timed out
    [R] List Error
    [R] PASV
    [R] 227 Entering Passive Mode (74,118,192,189,19,143).
    [R] Opening data connection IP: 74.118.192.189 PORT: 5007
    [R] Data Socket Error: Connection timed out
    [R] List Error
    [R] PASV mode failed, trying PORT mode.
    [R] Listening on PORT: 2677, Waiting for connection.
    [R] PORT 192,168,1,5,10,117
    [R] 200 PORT command successful.
    [R] LIST -al
    [R] 150 Opening ASCII mode data connection for /bin/ls.
    [R] 226 Transfer complete.
    [R] List Complete: 138 bytes in 0,77 seconds (0,2 KB/s)
    [R] PORT mode was successful, Please update your site profile.
    

    No próximo é o mesmo servidor mas outro IP e neste funciona e as portas são as mesmas pelo q da pra ver no log.

    [R] Connecting to srv3.ibesp.org.br -> DNS=ftp3.ibesp.org.br IP=74.118.192.188 PORT=21
    [R] Connected to srv3.ibesp.org.br
    [R] 220 Microsoft FTP Service
    [R] USER administrator
    [R] 331 Password required for administrator.
    [R] PASS (hidden)
    [R] 230 User administrator logged in.
    [R] SYST
    [R] 215 Windows_NT
    [R] FEAT
    [R] 211-FEAT
    [R]   SIZE
    [R]   MDTM
    [R] 211 END
    [R] PWD
    [R] 257 "/" is current directory.
    [R] TYPE A
    [R] 200 Type set to A.
    [R] PASV
    [R] 227 Entering Passive Mode (74,118,192,188,19,144).
    [R] Opening data connection IP: 74.118.192.188 PORT: 5008
    [R] LIST -al
    [R] 125 Data connection already open; Transfer starting.
    [R] 226 Transfer complete.
    [R] List Complete: 138 bytes in 1,55 second (0,1 KB/s)
    

     

    Alguem tem alguma ideia do que pode ser? um problema no firewall do windows?

    Seria até tb interessante discutir sobre o firewall, eu nao sei se ele é muito seguro, mas como este servidor é hospedado em uma empresa nos EUA e como eles liberam todas as portas eu sou obrigado a utilizar um firewall via software mesmo. Alguem teria uma sugestão quanto ao firewall tb?

     

    sábado, 25 de setembro de 2010 04:15

Respostas

  • Libera a porta 20/21
    Erick Albuquerque
    Blog: http://erickalbuquerque.com.br
    Twitter: @_ealbuquerque
    Linkedin: http://br.linkedin.com/in/easantos
    Winseg.Org
    • Marcado como Resposta Richard Juhasz segunda-feira, 4 de outubro de 2010 18:50
    sexta-feira, 1 de outubro de 2010 20:35
    Moderador
  • Bom dia,

    o Erick sugeriu o correto, seu problema provavelmente está relacionado ao Firewall.

    Qual é a versão do Windows que vc está usando na máquina cliente?

    No modo PASS o cliente efetua uma segunda conexão para o FTP Server (dados), portanto, o FW tem que estar com um range de portas específico liberado.

    A segunda conexão na porta de dados é feita mediante ao cáluco realizado pelo comando PORT, no seu log isso é bem vísivel.

    Dependendo da versão do seu Windows, ele pode incorporar a versão mais recente do Windows Firewall, se o cliente (sua máquina) possui regras no FW para o tráfego outbound com restrições, ocorrerá bloqueio.

    Sugiro fazer um novo teste, liberando todo o tráfego (Protocolo TCP - Qualquer porta) para os IP s dos 2 servidores FTP.

    Outra coisa, se o teste for realizado a partir de outras máquinas clientes no modo PASS, o acesso ocorre normalmente?

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    • Marcado como Resposta Richard Juhasz segunda-feira, 4 de outubro de 2010 18:50
    sábado, 2 de outubro de 2010 11:04

Todas as Respostas

  • Libera a porta 20/21
    Erick Albuquerque
    Blog: http://erickalbuquerque.com.br
    Twitter: @_ealbuquerque
    Linkedin: http://br.linkedin.com/in/easantos
    Winseg.Org
    • Marcado como Resposta Richard Juhasz segunda-feira, 4 de outubro de 2010 18:50
    sexta-feira, 1 de outubro de 2010 20:35
    Moderador
  • Bom dia,

    o Erick sugeriu o correto, seu problema provavelmente está relacionado ao Firewall.

    Qual é a versão do Windows que vc está usando na máquina cliente?

    No modo PASS o cliente efetua uma segunda conexão para o FTP Server (dados), portanto, o FW tem que estar com um range de portas específico liberado.

    A segunda conexão na porta de dados é feita mediante ao cáluco realizado pelo comando PORT, no seu log isso é bem vísivel.

    Dependendo da versão do seu Windows, ele pode incorporar a versão mais recente do Windows Firewall, se o cliente (sua máquina) possui regras no FW para o tráfego outbound com restrições, ocorrerá bloqueio.

    Sugiro fazer um novo teste, liberando todo o tráfego (Protocolo TCP - Qualquer porta) para os IP s dos 2 servidores FTP.

    Outra coisa, se o teste for realizado a partir de outras máquinas clientes no modo PASS, o acesso ocorre normalmente?

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    • Marcado como Resposta Richard Juhasz segunda-feira, 4 de outubro de 2010 18:50
    sábado, 2 de outubro de 2010 11:04