Modem uzerinde 20. portu actim ve gelen paketleri kendi ip me yonlendirdim.
internetten port taramasi yapinca 20.port'a gelenler benim firewall'a takiliyor yani disardan o port acik gozukuyor.
ama ben disardan kendi (modem ip'si) ip'me baglanamiyorum. cuteFTP socket error diye bisey soyluyo
yerel ag'da sorun yok ama disardan erisim'de yaptiklarimin neresi yanlis veya eksik Bilen varsa Lutfen yarD?m etsin [dntw]
bu arada adsl ipniz sabit herelde?bir de 20. porta gelenler benim firewalla takılıyor demissiniz?firewallınızda ip ve port redirection yaptınız mı?
ftp de iki turlu baglanti vardir active ve passive. olayin active mi passive mi oldugunu client tarafi belirler. active baglantida server tarafinda 2 port islev gorur. birincisi port 21, bu command porttur. ilk baglanti bu port uzerinden yapilir. digeri port 20, bu port da data port dur. client baglandigi zaman kendi 1024 ten buyuk bi port secer ve servera gonderir. server da kendi 20.portundan clientin bu portuna data transferini yapar. Bu dedigimi yapman icin shu portlari acman gerekiyor: ftp serverin 21. portuna heryerden (baglanti saglanmasi icin) ftp serverin 20. portunden clientin 1024 ten buyuk portlarina client in 1024 ten buyuk portlarindan ftp server in 20. portuna
passive baglantiya gelince. server da port 21 command port olarak acik olur. client ilk once bu porttan baglanir. daha sonra client baglandigi port komutu (1024 ten buyuk port secmez) yerine PASV komutunu gonderir. bu durumda ftp server artik 20. portu data portu olarak kullanmaz ama 1024 ten buyuk bir port secip (ki bu portlar ayricalikli portlar degildir) o port ustunden baglanti yapar. bu durumda da ftp serverin 21. portuna her yerden (baglantiyi kurmak icin) ftp servar 21. porttan disariya port>1024 buyuk olan her yere (server in client in istegine cevap verebilmesi icin) ftp server in port>1024 una heryerden (client in server la data baglantisi kuracagi port) ftp server'in port>1024 unden disardaki port>1024 lere. (server client a cevap gonderecegi port)
bu iki sekilde de firewall unu ayarlarsan hem active hem passive ftp icin zemin hazirlamis olursun. ikisinden birini de secebilirsin ama o zaman client la baglanirken client konfigurasyonunda active ya da passive diye secmen gerekir. localde baglanmasi gayet dogal cunku firewall dan gecmiyor.
gercekten cok güzel ayrıntılara deginmissin dostum.ancak firewallda 1024ün üzerindeki tüm portları acarsak o zaman güvenlik anlamında cok büyük acık vermiş oluruz ve firewall kulllanmamızın bir anlamı olmaz,yanlısmı düsünüyorum yoksa atladıgım bir yer mi var?
onlar priviliged yani ayricalikli portlar degil. eger ki 1024 den buyuk bir portunda bir server calistiriyorsan, yazdigin firewall rule (kurallarinda)'larinda oncelikli olarak o porta olan istekleri reddedersin. ftp ile ilgili kurali daha sonraya koyarsin. bilgisayarinda arkada o portu dinleyen bir server olmadigi surece acik olsa bisey olmaz. ancak o portlarina DOS yapilabilir ve connectionini yavaslatabilir, ki ona karsi da rule yazilabilir ama bir router firewall'uyla halledilebilecek birsey degil tabii bu. gelen paketlerin header'lerinin check edilmesi gereken bir durum. kaldi ki eger buna ragmen paranoya yapilcaka bi durum varsa active ftp yi kullanirsin, 20 ve 21. portlarla ishi halledersin ama bu durumda client konfigurasyonunda da active secili olmak durumda. yani client lara baglanmaya calistiklarinda ftp server mesaji olarak active kullanmalari gerektigi soylenmeli vs. tabii baglanan biliyorsa buna da gerek yok.
"onlar priviliged yani ayricalikli portlar degil. eger ki 1024 den buyuk bir portunda bir server calistiriyorsan, yazdigin firewall rule (kurallarinda)'larinda oncelikli olarak o porta olan istekleri reddedersin. ftp ile ilgili kurali daha sonraya koyarsin" demissin ama atak icin herhnagi bir portunun acık olması yeterli, priviliged yada deil farketmez.egerki 1024ten büyük tüm portları, ftp server pasif baglantında random olarak kullanacak diye acarsak vay halimize :)) ancak >1024 bir port secilerek firewall üzerinden port redirection yapılabilir ftp servera
hayir secilemez cunku active ftp de portu p>1024 olarak client tarafi secer. ve PORT XXXX kumutuyla server a gonderir. ben de zaten onu dedim DOS attack yapilabilir. ama arkada o portu dinleyen application yoksa onemi yok. bu suna benzer evine bircok su borusu geliyor. borularin ucunda vana var. bu borular portlari belirtir. sonundaki vanalari da dinleyen applicationlara benzetirsin. baglanti geldiginde dinleyen server socket(vanayi) acar. gidip vanayi acmadigin surece, yani porta bagli application u aktive etmedigin surece iceri su girisi olmaz. suyun cift yonlu gittigini de dusunursen vana kapali olsa bile disardan devamli su gelirse (DOS attack) senin disariya su cikisin engellenir. connection u yavaslatmaktan da kastim odur. Basir bir misal olarak: dos attacklar genelde UDP paketlerle yapildigindan (cunku ACK gerekmedigi icin sik araliklarla paket gonderilir) mesela UDP packetleri filtrelemen bu attacklara karsi kismi bir cozum saglar. Yani nihayeten butun portlari her sekilde kapamakla firewall yapilmaz. tabii ev kullanicilarinin ishini gorur. ama adam gibi firewall, kullandigin server'larinin konfigurasyonunu karsilayip ayni zamanda sistemini guvenli kilan firewall dur. firewall kurali basitce shu porta gelen herseye kapayim demk degil. paketlerin headerleri icinde gelen bir cok mask bit var ve bu bitlere gore dogru filtreleem yapilir ama bu ev kullanicisinin oturup ugrasacagi shey degil o baska.
"ama adam gibi firewall, kullandigin server'larinin konfigurasyonunu karsilayip ayni zamanda sistemini guvenli kilan firewall dur."
cok dogru demişsin ancak >1024 tüm portlar acılacaksa serverın konfigürasyonunu karsılayacak diye, o zaman da firewallın anlamı kalmaz.öyle bir durumda servar üzerinde farklı bir yol aramak lazım.cünkü ne kadar acık port o kadar büyük olasılık. gerci topic konusundan biraz uzaklastık ama aktif ftp arkadasın problemi cözer sanırım
" ftp serverin 21. portuna heryerden (baglanti saglanmasi icin) ftp serverin 20. portunden clientin 1024 ten buyuk portlarina client in 1024 ten buyuk portlarindan ftp server in 20. portuna "
dig sagol gercekten ayrintili anlatmissin yukardaki active ftp yi deneyecegim
yeni mesaja git
Yeni mesajları sizin için sürekli kontrol ediyoruz, bir mesaj yazılırsa otomatik yükleyeceğiz.Bir Daha Gösterme