Abrir puertos FTP

Hola rolover

Agradecemos una vez a Theliel su colaboración y esperamos que todo este funcionado de manera correcta.

Un saludo.

Fernando.

Buenas rolover 

Sí, eso es. Más que suficiente para el 99% en uso doméstico, y no tener que lidiar con problemas que antes o después aparecen por individuos no deseados

🙂

Hecho...

He cambiado 2100 a otro número y el rango de puertos a solo 5. Me imagino que eso deja hasta 5 conecciones simultanias, ¿no?

Buenas rolover 

Me alegro que hayas dado con la configuración correcta.

Solo un aporte. Por propia seguridad, como te decía, es una auténtica locura y barbaridad dos cosas. Primero que uses el puerto externo 21, que es el puerto conocido. Sólo eso va a hacer que el servidor esté 24/7 bombardeado por el tráfico "malicioso" de internet, en busca de vulnerabilidades y otros problemas. Y exactamente lo mismo en lo relativo a abrir un intervalo de puertos grande, es otra tremenda barbaridad, y que además limita enormemente las capacidades del Router, pues son puertos que va a reservar y no van a poder ser usados para otras cuestiones.

El puerto interno si quieres usar el mismo, el externo usa otro totalmente diferente, la única diferencia es que en el cliente FTP especificas el puerto indicado en el externo y en paz. Y en lo relativo al rango de puertos, usa en el servidor/cliente rangos mucho más pequeños, de 1 a 3 puertos debería de ser más que suficiente.

O eso, o te expones a que en un momento dado el equipo donde está el servidor FTP caiga en malas manos. Y con respecto a la seguridad o no de usar FTP, el problema no solo es que puedan o no interceptar el tráfico en sí de los propios vídeos, sino que igualmente puedes interceptar, por ejemplo, las credenciales, abriendo aun más la mano a cualquier ataque.

Por supuesto es solo un consejo, cada cual al final que haga lo que estime.

Saludos.

Hola,

En mi caso solo quiero mandar archivos de vídeo muy grandes desde un estudio a mi ordenador de casa. me da igual que alguien los vea.

Gracias por la larga explicación. Seguía sin saber configurarlo pero ya entiendo activo y pasivo y que lo más fácil parecía ser pasivo me puse a buscar como configurar ftp pasivo y entre unas explicaciones y otras pues di con la configuración.

Lo voy a poner aquí por si otros tienen el mismo problema. 

-No funciona con "red privada" activada en windows firewall, hay que poner una  excepción. "Permitir una aplicación a través del firewall."

Filezilla Server bajo "configuración"

-pones bajo "connection y Listners: 127.0.0.1 (tb dejé :: y 0.0.0.0) Port: 21, Explicit FTP over TLS and insecure plain FTP.

- bajo "FTP Server" y "Passive Mode" tienes marcado "Use custom port range" y dejé lo que sale por defecto - 49152 a 65534 y lo demás en blanco

-tienes que poner grupo y usuario

Te conectas al router: http://192.168.1.1/logIn_mhs.html

La clave la tienes en la pegatina bajo el router. En el menu vas a puertos y metes esto:

Nombre: ftp  

Puerto/Rango externo 2100:2100

Puerto Rango interno 21:21

Direccion IP: (Tu IP interno del ordenador que es el servidor ftp - 192.168.1.x - cambia el x por el tuyo)

Nombre: ftp  

Puerto/Rango externo 49152:65534

Puerto Rango interno 49152:65534

Direccion IP: (Tu IP interno del ordenador que es el servidor ftp - 192.168.1.x - cambia el x por el tuyo)

Es decir que el rango es el mismo que metiste en el servidor de filezilla. 2100 supongo que lo puedes cambiar por cualquier puerto y el rango también puedes usar otro.

En el cliente de ftp, lo que usar para luego conectar con el servidor pones el IP/host del servidor y para el puerto pone 2100, o el puerto que decides poner como el público.

Para el tema del IP del servidor uso el servicio de NO-IP, para que tener un host siempre con el mismo nombre, aunque cambie mi IP.

Espero que alguien le sirva esto. 🙂

Buenas rolover 

A ver si pudo darte algo de luz en el asunto. Pero de cualquier modo, y con independencia de todo lo demás que va a venir aquí dos cosas. La primera, JAMAS USES de puerto externo un puerto conocido. Exponer el servidor FTP al puerto externo 21 es pegarse un tiro en el propio pie, es muy peligroso. La segunda, FTP Es un protocolo muy inseguro que obliga además a usar por narices encriptación implícita o explícita, o tu privacidad simplemente no existirá. Por todo ello y por lo que a continuación te pongo, es infinitamente más cómodo, seguro y evita problemas es usar por ejemplo SFTP. Incluso WebDav, aunque este último tb tiene sus propios problemas.

Dejando todo eso al margen...

-------------------------

En primer lugar, de la tabla que muestras, los puertos abiertos a la interfaz veip0.2 no sirven para nada, lo puedes borrar. Y en lo relativo a puertos UDP tb, FTP no usa UDP, con lo que borrar también.

Por otro lado vamos a presuponer que no hay error posible y que el servidor FTP está realmente en la IP 78, el servidor DHCP del Router la tiene fijada ahí.

--------------

Partiendo de todo eso, que sería lo básico, algunos apuntes de FTP que son esenciales, y es el motivo por el que la inmensa mayoría tienen problemas con los servidores FTP domésticos expuestos a Internet.Normalmente lo habitual es que uno pueda conectarse pero no pueda realizar ninguna otra tarea.

FTP NO ES un protocolo que se pensase para ser usado en entornos NAT, es decir, en conexiones domésticas que están detrás de un Router. FTP forma parte digamos de ese conjunto de protocolos no-amigos con conexiones compartidas, llamando conexiones compartidas a cualquiera que esté detrás de un Router haciendo NAT (en esencia cualquier usuario doméstico).

Esto acarrea importantes problemas, que hace que no se pueda configurar como un servicio más, donde se mapea un  puerto y ya está. Es algo más... complicado. Debido precisamente a esto, FTP dispone de dos modos de funcionamiento básico, uno que llamamos el modo "normal" o "activo", y el otro el modo "pasivo". La configuración de cualquiera de los dos modos tiene que ser bilateral, es decir, por un lado donde está el servidor FTP, y por otro lado donde está el cliente FTP. Si ambos lados no están correctamente configurados, no funcionará.

Modo Activo:

-El Servidor FTP

En Modo Activo, el servidor FTP va a usar dos puertos bien claros, el puerto 21 al que llamamos canal de control, y el puerto 20, que llamamos canal de datos. Desde el punto de vista de configuración de un servidor FTP es el sistema más simple. Si el servidor FTP está detrás de un dispositivo NAT (como un Router), tampoco suele ser mayor problema, y sólo con mapear el puerto 21 externo suele ser suficiente. El puerto 20 no hace falta, porque es el servidor quien inicia la comunicación por el puerto 20 hacia el cliente FTP, con lo que al iniciar la comunicación él, no hay problemas con NAT. Recordemos que NAT bloquea todo el tráfico entrante que no ha sido solicitado previamente, si desde dentro se inicia la comunicación por el 20, NAT permitirá el tráfico entrante al puerto 20 durante la sesión.

-El Cliente

Pero si el servidor lo tiene simple, el cliente lo tiene complicado. Si el cliente está conectado directamente a Internet no es problema, pero de nuevo la inmensa mayoría de veces estamos detrás de NAT, y acabamos de decir que NAT filtra todo el contenido no solicitado. En modo Activo, el cliente iniciaría la comunicación con el servidor a su puerto 21. Pero el Servidor responderá al Cliente por el canal de datos, por su puerto 20. Aunque la IP sea la misma, el puerto es diferente, y casi con total seguridad NAT del cliente FTP lo va a filtrar, porque nadie de la red ha solicitado previamente nada a dicho puerto.

Esto provoca que cuando se usa un servidor FTP en modo activo, el cliente FTP si está detrás de NAT, para que funcione, tiene que tener mapeado en el Router un intervalo enorme de puertos hacia sí mismo, porque no sabe de antemano a que puerto de destino lo enviará el servidor FTP. Hay "trucos" para que el Router lo adivine, porque por lo general el servidor FTP lo envía al puerto+1 desde el que se le envió a él la conexión. Pero esto no es una norma fiable.

Existe un "truco" para facilitar esto cuando controlamos tanto cliente como servidor. Configuramos el servidor en modo activo, y le especificamos que el puerto de destino del canal de datos será por ejemplo siempre el 10000 y el 10001, y en el Router del cliente NAT solo tendríamos que abrir ambos puertos hacia el cliente FTP.

Modo Pasivo

Por regla general se usa el modo pasivo, porque la mayoría de usuarios usan FTP como clientes, no como servidores. El modo activo es simple y rápido para los servidores pero problemático para los clientes. El Modo pasivo es más amigable para los clientes, pero más complicado para los servidores.

Aquí el esquema es diferente, ya que el servidor FTP no va a usar el puerto 20 para el canal de datos, sino que el canal de datos lo va a negociar el FTP cliente, y va a iniciar la conexión el cliente. Es decir, el inicio es el mismo, el cliente inicia la conexión al puerto 21 del servidor. Pero ahora el servidor no contesta por su puerto 20 (puesto que NAT del cliente FTP lo filtraría), sino que después de que el cliente establezca la conexión por el 21 del servidor, le pide una conexión en modo pasivo, y el servidor le responde el puerto a usar para la conexión. A partir de ahí el cliente inicia la transferencia de datos hacia el puerto pasivo.

Cliente:
Configurar en modo pasivo el cliente es muy simple... no hace falta nada, ningún puerto, nada de nada. Sólo configurar el cliente en modo pasivo, nada más.

Servidor:

En este caso el servidor tiene más problemas. Además de tener mapeado y accesible el puerto 21, como es lógico, requiere también permitir el tráfico en los puertos pasivos. Por regla general se puede configurar el servidor FTP para usar un rango limitado de puertos pasivos, puesto que cualquier puerto pasivo que se use tiene que ser mapeado en NAT para permitir la entrada del tráfico, ya que la comunicación la inicia el cliente.

----------------

Algunos servidor FTP pueden hacer uso de upnp para realizar este mapeo de puertos pasivos automáticamente, de modo que mejora enormemente la seguridad y es más cómodo... siempre y cuando el servidor expuesto no tenga otros servicios también, que dejar abierto más servicios es peor. Algunos Router permiten también el uso de "ayudantes" para los protocolos complicados, que en esencia lo que haría en FTP es solventar por sí mismo este juego de puertos para facilitar la conexión.

------------

Así que con todo ello tendrías que tener herramientas y conocimientos suficientes para configurar correctamente cliente/servidor y los Router que estén delante de cada uno en cada caso. Y sí, es complicado porque el servidor FTP lo puedes controlar perfectamente siempre pq estará en tu red, pero el cliente FTP puede que a veces esté detrás de un Router, a veces de CGNAT o a veces detrás de conexiones directas. Así que toca lidiar con todo ello.

Buenas tardes rolover y Bienvenid@ a Comunidad Movistar

Lamentándolo mucho no damos soporte para la configuración avanzada del equipo. No obstante dejamos abierto este hilo para que el resto de usuarios puedan aportar información al respecto y entre todos puedan ayudarte. 

Un saludo. 

Miriam