Pagina 1 di 2
FTP dietro NAT
Inviato: mer 19 dic 2007, 16:45
da ale.cnr
Ho un grosso problema che mi sta facendo sballare il cervello.
Ho la necessità di prelevare dei file, che si trovano su un server ftp posto dietro a Nat-firewall, da un server web che si trova all'esterno per poi elaborarli su una pagina web. Vi prego aiutatemi
Inviato: mer 19 dic 2007, 17:46
da kobaiachi
contatta l`amministratore di rete che gestisce il nat/firewall e chiedigli se gentilmente ti puo aprire le porte.
Inviato: mer 19 dic 2007, 20:43
da ale.cnr
Il problema è che sono io che amministro la rete. La macchina in cui si trova il server ftp è una macchina windows e il server web è una macchina slack. Le ho provate tutte, agendo anche sul firewall (iptable) ma non succede nulla
Inviato: mer 19 dic 2007, 21:05
da conraid
ale.cnr ha scritto:Il problema è che sono io che amministro la rete. La macchina in cui si trova il server ftp è una macchina windows e il server web è una macchina slack. Le ho provate tutte, agendo anche sul firewall (iptable) ma non succede nulla
Apri le porte FTP all'IP del server web, dovrebbe bastare
Inviato: mer 19 dic 2007, 21:31
da ale.cnr
Ci provo, ma così non metto a rischio la sicurezza della mia rete e dei miei server?
Inviato: mer 19 dic 2007, 21:32
da conraid
ale.cnr ha scritto:Ci provo, ma così non metto a rischio la sicurezza della mia rete e dei miei server?
Se configuri bene il server FTP?
Se lo apri ad un solo IP?
No
Inviato: mer 19 dic 2007, 21:45
da ale.cnr
Non so se si è capito che non sono affatto un guru, in pratica,magari con un esempio come dovrei fare? Grazie
Inviato: mer 19 dic 2007, 22:01
da conraid
io partirei da qui
http://www.netfilter.org/documentation/ ... tion-howto
http://digilander.libero.it/amilinux/do ... er-23.html
qui sembra un caso simile
http://lurker.oltrelinux.com/message/20 ... 59.en.html
altro non so dirti
non devi solo aprire delle porte, ma reindirizzarle. Ma non sono esperto, magari aspetta qualcuno più ferrato di me.
Inviato: mer 19 dic 2007, 22:07
da ale.cnr
Di certo non lo faccio per scelta. Ti posso assicurare che mi sto impegnando al massimo e fino ad oggi non ho avuto problemi di sicurezza. Però mi rendo conto che cercare di risolvere questo quesito del trasferimento file da rete locale ad esterno mi preoccupa un pò.
Comunque darò un'occhiata ai link che mi hai inviato. Grazie
Inviato: mer 19 dic 2007, 22:09
da conraid
ale.cnr ha scritto:Di certo non lo faccio per scelta. Ti posso assicurare che mi sto impegnando al massimo e fino ad oggi non ho avuto problemi di sicurezza. Però mi rendo conto che cercare di risolvere questo quesito del trasferimento file da rete locale ad esterno mi preoccupa un pò.
Se ci pensi ogni server funziona così. Anche un server web manda file dall'interno all'esterno. Ed i server FTP pubblici come fanno?
Si fa e basta, cercando di configurare bene i servizi e contenere i rischi.
L'ultimo esempio sembra un caso simile.
Anche se a prima vista va un po' ritoccato
Se hai paura ad aprire anche ad un solo IP un server nella tua rete locale, puoi provare a vedere VPN o tunnel SSH, ma qui, come prima, passo la palla
Inviato: mer 19 dic 2007, 22:31
da davide77
Gestisco un server ftp su internet e devo dire di essermi scornato non poco con lo stesso problema.
Prima di tutto c'è da fare una considerazione, se usare un ftp attivo o passivo:
FTP attivo: mi pare di ricordare che basta aprire le porte 20 e 21 (puoi cercare su google se ne servono altre)
FTP passivo: devi aprire la porta 21 e tutte quelle non privilegiate (1025-65535) e, forse, anche la 20
Il secondo caso è migliore perchè ti permette di far accedere chiunque, anche in nat, mentre nel primo caso non puoi farlo.
Io ho risolto aprendo tutte le porte sul firewall e bloccando sul server quelle che non mi servivano, poi ho controllato paranoicamente di aver attivati solo i servizi strettamente necessari (ovviamente il server fa solo da ftp).
Inviato: mer 19 dic 2007, 22:33
da conraid
davide77 ha scritto:
Il secondo caso è migliore perchè ti permette di far accedere chiunque, anche in nat, mentre nel primo caso non puoi farlo.
Lui deve far accedere un solo IP, dove risiede un server WEB.
Meno rischi se non apre a tutti
Inviato: mer 19 dic 2007, 22:38
da gioco
conraid ha scritto:Se ci pensi ogni server funziona così. Anche un server web manda file dall'interno all'esterno. Ed i server FTP pubblici come fanno?
Si fa e basta, cercando di configurare bene i servizi e contenere i rischi.
Si fa, ma i servizi pubblici stanno nella DMZ.
Non so come è organizzata la rete di ale.cnr, ma normalmente i servizi pubblici girano su macchine dedicate separate dal resto della rete.
Inviato: mer 19 dic 2007, 22:42
da conraid
gioco ha scritto:
Si fa, ma i servizi pubblici stanno nella DMZ.
Lo so, per questo terminavo il messaggio con
Se hai paura ad aprire anche ad un solo IP un server nella tua rete locale, puoi provare a vedere VPN o tunnel SSH, ma qui, come prima, passo la palla
Se era in DMZ o con ip pubblico le cose erano più semplici e diverse
Inviato: gio 20 dic 2007, 8:46
da davide77
Ho riletto il messaggio originale (nell'altro post mi ero perso con l'ftp); non ti converrebbe aprire solo la porta ssh (22) ed utilizzare sshfs? Niente seghe mentali, niente servizi extra in esecuzione e vedi i file come se fossero sul computer.
E se proprio non vuoi aprire porte puoi fare un tunnel dalla lan alla dmz e su questo far passare tutte le connessioni che vuoi.