Servidor FTP Modo Passivo

[curinga]

Boa tarde a todos,

Hoje estava lendo alguns materiais referentes a melhores praticas de configuração de Firewall e fiquei com uma dúvida pois lá constava a informação de que é aconselhavel configurar um servidor FTP como FTP PASSIVO atrás de um firewall de perimetro pois quando o servidor FTP esta em modo passivo é ele quem decide qual porta sera usada para transferir informações para o Cliente FTP. Caso o cliente FTP esteja como passivo é ele que escolhera qual porta o Servidor FTP devera utilizar para transferencia de informações, sendo este o problema, pois como o cliente escolhera a porta de forma aleatória não tem como o Firewall de perimetro saber qual porta devera ficar aberta, e logicamente ele não ira deixar todas as portas altas abertas, sendo assim isto dificulta muito a administração de FTP para um Firewall.

Isto me gerou um dúvida pois eu sempre pensei que o estabelecimento de conexão entre um cliente FTP para um Servidor FTP era necessario apenas as portas 20 e 21 do servidor estarem abertas, pois mesmo o cliente utilizando portar altas para se conectar ao Servidor FTP não seria necessario o Servidor ter estas portas altas abertas.

Caso alguém possa me tirar este dúvida agradeço. Se alguém não entendeu o que eu tentei explicar fique a vontade para perguntar ok.

Um dos materiais que li para tentar entender estão no site http://www.rnp.br/newsgen/0011/ftp-passivo.html

Grato

[mmachado]

Curinga,

Configurar regras para FTP em um firewall é um pouco complicado, mas fica fácil depois de entender o conceito.

Primeiro vamos esclarecer o seguinte: o modo passivo ou o modo normal (as vezes chamado de ativo) é uma propriedade da conexão que está em andamento. Não é uma prerrogativa do cliente ou do servidor. Dentro de uma mesma conexão é possível alternar entre o modo ativo e passivo.

O problema do modo ativo é que o cliente escolhe uma porta alta aleatória onde o servidor vai se conectar. Ou seja, o servidor FTP que, como todo bom servidor, deveria apenas receber conexões, inicia uma conexão em direção ao cliente (que como todo bom cliente deveria apenas fazer conexões).

Isso é um problema para um firewall que esteja protegendo o cliente, pois não sabe qual porta ele deverá deixar passar a conexão de dados.

Nesse modo ativo, o servidor inicia a conexão na porta alta do cliente usando como porta de origem a 20. Então os firewalls antigamente deixavam entrar portas altas se a origem fosse a porta 20. É claro que não demorou para que scans de portas para dentro da rede usassem a porta 20 para enganar os firewalls e desde então o FTP normal começou a ser banido.

Já no FTP passivo é o servidor quem escolhe uma porta alta aleatória e o cliente se conecta nela para a transmissão de dados. Para o firewall do cliente é ótimo, já que o cliente está apenas fazendo conexões e não mais recebendo-as.

No entanto, para o firewall que protege o servidor as coisas complicam. O administrador do servidor FTP precisa combinar com o administrador do firewall um intervalo de portas em uma quantidade suficiente para atender quantas conexões simultâneas forem desejadas (digamos 100) e configurar no próprio serviço de FTP (digamos, da 30000 até a 30100).

Essas portas precisam então terem liberação de entrada no firewall em direção ao servidor FTP, e o administrador desse servidor precisa garantir que apenas o serviço de FTP vai poder ouvir conexões nessas portas. Só que nem sempre isso é possível, principalmente em máquinas compartilhadas com outros usuários e por se tratarem de portas altas (que não requerem privilégios de administrador para abrir sockets nelas).

Atualmente os firewalls estão mais espertos e conseguem "descobrir" quais portas devem ser abertas dinamicamente, observando o que está sendo combinado através da conexão de controle na porta 21. No Linux o IPTables faz isso com o auxílio de um módulo que fica em memória trabalhando em conjunto com o tracking de conexões.

Existem outros protocolos complicados para os firewalls que negociam portas aleatórias, como o SIP (para conexões VOIP).

Se tiver curiosidade e paciência, dê uma lida nesse (longo) artigo sobre firewalls que escrevi há algum tempo:
http://www.tiespecialistas.com.br/20...acls-aos-xtms/

Um abraço,
MM