Защита FTP-сервера и блокирование портов (какие могут возникнуть проблемы?)

[Stauffenberg]

Всем привет.

Какие могут возникнуть проблемы при защите FTP-сервера при помощи firewall, который блокирует все входящие TCP-запросы, кроме 21-порта, и все исходящие TCP-ответы от сервера, с портов старше/больше 1024?

[MrClon]

FTP не будет работать, а в остальном всё нормально (:
Почитай на какой-нибудь википедии как работает протокол FTP. Для него потребуется прорубить окно в фаерволе и объяснить серверу что нужно использовать это окно. Т.е. разрешить входящие соединения на некоторый диапазон портов (при-чём размер диапазона не меньше количества ожидаемых одновременных подключений). То-же самое с исходящими соединениями (только не «на порты», а «с портов»), если хочешь что-бы FTP мог работать в активном режиме.

[Bizdelnick]

Ну активный-то режим работать будет. При условии, что клиенты смогут до него достучаться (точнее, что он сможет достучаться до клиентов), а это далеко не факт.

[SLEDopit]

Какие могут возникнуть проблемы при защите FTP-сервера при помощи firewall, который блокирует все входящие TCP-запросы, кроме 21-порта, и все исходящие TCP-ответы от сервера, с портов старше/больше 1024?

Только стоит учитывать, что подобная мера не добавляет защиты самому FTP сервису. А об этом стоило бы подумать, учитывая, что FTP далеко не самый защищенный протокол.
Если есть возможность, я бы посмотрел в сторону SFTP. Ну в крайнем случае можно какой-нибудь fail2ban поставить. Хоть от брутфорса будет какая-никакая защита.

[MrClon]

Ну активный-то режим работать будет. При условии, что клиенты смогут до него достучаться (точнее, что он сможет достучаться до клиентов), а это далеко не факт.

Забыл что в активном режиме соединения открываются с константного порта < 1024.
Правда непонятно чего ради морочиться с активным режимом (объяснять всем клиентам что нужно перенастроить фаервол или постучать по голове провайдеру или ещё что-то).

[Stauffenberg]

Какие могут возникнуть проблемы при защите FTP-сервера при помощи firewall, который блокирует все входящие TCP-запросы, кроме 21-порта, и все исходящие TCP-ответы от сервера, с портов старше/больше 1024?

Только стоит учитывать, что подобная мера не добавляет защиты самому FTP сервису. А об этом стоило бы подумать, учитывая, что FTP далеко не самый защищенный протокол.
Если есть возможность, я бы посмотрел в сторону SFTP. Ну в крайнем случае можно какой-нибудь fail2ban поставить. Хоть от брутфорса будет какая-никакая защита.

Да, я знаю. Я не настраиваю FTP, это просто один из вопросов из списка задачь для проверки. Все вопросы на первый взгляд несложные, но каждый содержит подвох. Сам-то я не админ, но почитать мнение тех, кто имеет опыт администрирования, интересно

[drBatty]

Я не настраиваю FTP, это просто один из вопросов из списка задачь для проверки.

я-бы ответил так: на сегодня FTP это плохая идея. В _любом_ случае. Авторизации там практически нет, а для публичного можно http использовать.

И да, ИМХО. И да, если что, я быдлокодер.

[SLEDopit]

Да, я знаю. Я не настраиваю FTP, это просто один из вопросов из списка задач для проверки. Все вопросы на первый взгляд несложные, но каждый содержит подвох. Сам-то я не админ, но почитать мнение тех, кто имеет опыт администрирования, интересно

Админа ищете? меня возьмите (:
Тогда можно поинтереснее вопросы придумать, чем с ftp возиться.

[Stauffenberg]

Да, я знаю. Я не настраиваю FTP, это просто один из вопросов из списка задач для проверки. Все вопросы на первый взгляд несложные, но каждый содержит подвох. Сам-то я не админ, но почитать мнение тех, кто имеет опыт администрирования, интересно

Админа ищете? меня возьмите (:

Вообще-то нужен программист, но в security. А где security, там надо знать все
Сделал себе сертификат админский, но одно дело сдать экзамен, другое - иметь реальный опыт.

Тогда можно поинтереснее вопросы придумать, чем с ftp возиться.

Ну я написал только два их них. Вот поймал себя, что не знал, что для FTP, оказывается, нужен и 20 порт. Был уверен, что хватает одного 21'ого.
Еще вторая тема про icmp показалась интересной.

[drBatty]

Вот поймал себя, что не знал, что FTP оказывается нужен и 20 порт.

угу. http://ru.wikipedia.org/wiki/FTP почитайте.