Filezilla server y firewall de W7

[oqluu]

Hola a todos

Tengo en uno de mis pcs instalado un servidor ftp (filezilla) para compartir cosas con mis amigos, siguiendo los consejos de este foro he activado el firewall de windows 7, lo primero que he hecho es crear una regla de entrada y de salida para que el puerto 21 este abierto en el firewall, pero aunque el filezilla conecta perfectamente no lista los directorios con lo cual no se puede descargar nada, la única manera que he tenido de arreglar esto es configurar otra regla que abre todos los puertos locales y remotos del pc, pero claro no creo que esto sea muy seguro, alguien sabe que puertos tengo que abrir? para que el filezilla liste los directorios y permita el acceso a las descargas sin tener todos los puertos abiertos.

Salu2 y gracias

[Asfasfos]

No añadas solo el puerto 21, añade la aplicación Filezilla como aplicación válida en el Firewall de Windows 7

[oqluu]

Si, eso lo hice también, añadí el filezilla server y el puerto 21 al firewall, y todo funciona solo que al conectar el filezilla me lanza un error que dice que no se han podido listar los directorios, solo funciona si abro todo los puertos en el firewall, por lo que deduzco que me falta abrir algún puerto pero no se cual.

Salu2

[el_angel_caido]

Hola.

El Filezilla Server (como cualquier otro servidor FTP moderno) debería utilizar por defecto el modo Pasivo, para ello hay que indicar un grupo de puertos correlativos (30000-30010, por ejemplo, suponiendo que no va a haber más de 10 conexiones simultáneas) en una de las secciones de configuración del programa, y dichos puertos han de ser abiertos tanto en el router como en el firewall por software que se use. Todo éso lo tienes en la wiki del Filezilla, en concreto AQUÍ.

La otra opción es usar el modo activo, pero en ese caso creo que la cosa se complica, hay que tener en cuenta más factores como tener que abrir también el puerto TCP 20 (FTP-Data), entre otros.

Así mismo te recomendaría que activaras el cifrado SSL/TLS de las conexiones, para crear un servidor FTPES, por ejemplo, de otro modo la información que viaja por FTP lo hace en texto plano y, dependiendo de lo que intercambies es conveniente blindar la conexión, tanto certificándola como cifrándola.

Un saludo.

[oqluu]

Hola.

El Filezilla Server (como cualquier otro servidor FTP moderno) debería utilizar por defecto el modo Pasivo, para ello hay que indicar un grupo de puertos correlativos (30000-30010, por ejemplo, suponiendo que no va a haber más de 10 conexiones simultáneas) en una de las secciones de configuración del programa, y dichos puertos han de ser abiertos tanto en el router como en el firewall por software que se use. Todo éso lo tienes en la wiki del Filezilla, en concreto AQUÍ.

La otra opción es usar el modo activo, pero en ese caso creo que la cosa se complica, hay que tener en cuenta más factores como tener que abrir también el puerto TCP 20 (FTP-Data), entre otros.

Así mismo te recomendaría que activaras el cifrado SSL/TLS de las conexiones, para crear un servidor FTPES, por ejemplo, de otro modo la información que viaja por FTP lo hace en texto plano y, dependiendo de lo que intercambies es conveniente blindar la conexión, tanto certificándola como cifrándola.

Un saludo.

gracias por los consejos

la verdad es que no me he parado mucho ver el tema del funcionamiento del filezilla server, simplemente configuré la básico y como vi que funcionaba bien pues no lo toque más, cuando conecto con el filezilla server, el filezilla cliente me dice algo de entering Passive mode, por lo que entiendo que esta en modo pasivo pero yo no he configurado nada, venia así, en lo que se refiere al cifrado pues tampoco lo había pensado, lo que comparto son películas y series y cosas de esas, crees que debería cifrar la información para proteger el servidor ftp?, un hacker avanzado podria descubrir la clave de acceso a través del la información que envía el servidor?..

Salu2

[oqluu]

he subido una foto para que se vea el error



http://imageshack.us/photo/my-images...filezilla.jpg/


Salu2

[zagloj]

Lo tienes en modo pasivo, simplemente sigue los consejos que te pone el_angel y mira la wiki, elige un rango de puertos y configura tanto router como cortafuegos del W7.

Saludos

[oqluu]

Según he leído en la wiki que has puesto de filezilla dice esto:

La creación de FileZilla Client

Si está ejecutando FileZilla 3, se recomienda ejecutar el Asistente para configuración de red. Le guiará a través de los pasos necesarios y puede probar la configuración después de la puesta en marcha.
Obviamente, si usted desea conectarse a cualquier servidor, usted necesita decirle a su servidor de seguridad que FileZilla se debe permitir que abrir conexiones a otros servidores. La mayoría de servidores FTP normales utilizan el puerto 21, los servidores SFTP utilizan el puerto 22 y FTP a través de uso de puerto SSL / TLS (modo implícito) 990 por defecto. Estos puertos no son obligatorias, sin embargo, lo que es mejor para permitir conexiones salientes a puertos remotos arbitrarios.
Dado que muchos servidores en Internet están mal configurados y no apoyar tanto a los modos de transferencia, se recomienda que configure ambos modos de transferencia en su final.
[ editar ] El modo pasivo
En el modo pasivo, el cliente no tiene control sobre lo que el puerto del servidor elige para la conexión de datos. Por lo tanto, con el fin de utilizar el modo pasivo, que tendrá que permitir conexiones salientes a todos los puertos en el firewall.
[ editar ] El modo activo
En el modo activo, el cliente abre un zócalo y espera a que el servidor para establecer la conexión de transferencia.
Por defecto, FileZilla Client pide al sistema operativo para la dirección IP de la máquina y el número de un puerto libre. Esta configuración sólo puede funcionar si está conectado a Internet directamente sin ningún tipo de router NAT, y si se ha configurado el firewall para permitir conexiones entrantes en todos los puertos mayores que 1024.
Si usted tiene un router NAT, usted necesita decirle a FileZilla su dirección IP externa a fin de que las conexiones en modo activo para trabajar con servidores fuera de la red local:
Si usted tiene una dirección IP fija externa, puede entrar en el diálogo de configuración de FileZilla.
Si usted tiene una dirección IP dinámica, puede autorizar FileZilla para obtener su dirección IP externa de un sitio web especial. Esto se producirá de forma automática cada vez que se inicia FileZilla. Ninguna información será presentada a la página web (independientemente de la versión de FileZilla).
En caso de duda, utilizar la segunda opción.
Si no desea permitir las conexiones entrantes en todos los puertos, o si usted tiene un router NAT, usted necesita decirle a FileZilla para utilizar un rango específico de puertos para las conexiones de modo activo. Usted tendrá que abrir estos puertos en el firewall. Si usted tiene un router NAT, es necesario que transmita estos puertos a la máquina local FileZilla está instalado. Dependiendo de su modelo de router, puede enviar un rango de puertos o si necesita que transmita todos los puertos de forma individual.
Los puertos válidos pueden ser de 1 a 65535, sin embargo, los puertos inferiores a 1024 están reservados para otros protocolos. Lo mejor es elegir los puertos mayores o iguales a 50000 para FTP en modo activo. Debido a la naturaleza de TCP (el protocolo de transporte subyacente), un puerto no puede ser reutilizado inmediatamente después de cada conexión. Por lo tanto, el rango de puertos que no debe ser demasiado pequeño para evitar el fallo de las transferencias de múltiples archivos pequeños. Una gama de 50 puertos debe ser suficiente en la mayoría de los casos.

esta traducción es de google pero me parece entender que en modo pasivo hay que abrir todos los puertos en el firewall porque el filezilla coge un puerto aleatorio cada vez para la conexión de datos, en fin que estoy hecho un lio con lo de modo pasivo y activo ya no se cual es mejor o más seguro.

[el_angel_caido]

Reholas.

Cierto es que la explicación de la wiki de Filezilla no deja muy claras las cosas, y la traducción harapajoe del traductor de Google tampoco ayuda.

En la sección de parámetros para el modo pasivo tienes lo siguiente:



Como puedes ver ya te vienen marcados un rango de puertos para usar en el modo pasivo, en la imagen de ejemplo es el rango 50000 a 51000, TCP, lo que permite que haya 1000 conexiones simultáneas al servidor FTP.
Además de ese rango de puertos (no es el 50000 y el 51000, son todos los puertos TCP desde ambos valores) necesitas abrir el puerto TCP 21 (o cambiarlo para que no sea el puerto estándar y evitar en la medida de lo posible un ataque por fuerza bruta a dicho puerto).
Todos esos puertos deben ser mapeados en el router y deben dárseles acceso en los cortafuegos... y, por supuesto, la IP privada del equipo que contenga el servidor FTP debe ser estática, no dinámica, y estar correctamente mapeada en el router.
Dentro de la red local sólo es necesario permitir los puertos en el cortafuegos, el mapeo no influye, ya que se ataca directamente al equipo que alberga el servicio; pero no así si el acceso se hace desde fuera de la red local, en este caso desde Internet.
La recomendación que te dan de la wiki de usar puertos por encima del 50000 para los pasivos es para estar dentro de los puertos con un uso menos frecuente o estándar que el resto, algo que puedes ver AQUÍ, donde hay 3 rangos de puertos.

Los modos pasivo/activo de un servidor FTP no son exclusivos ni de Filezilla Server ni de Windows, es una característica propia del servidor FTP usado, ya sea Filezilla, Serv-U, vsftpd, proFTPd, pureFTPd, etc., y ya sea Windows, Linux, Mac o el sistema operativo que sea.

Respecto al uso de cifrado en el FTP... ¿te suenan la "Ley Sinde", la SOPA y otras leyes para la protección de contenido sujeto a derechos de autor? Éso incluyen música, películas y series.

Para el cifrado usando SSL/TLS (mejor TLS) tienes dos opciones: FTPS (FTP con SSL implícito) y FTPES (FTP con SSL explícito), además de una tercera opción: SFTP (FTP sobre SSH). En todos los casos se cifra el canal, pero la forma de configurarlos es diferente, además de depender que el cliente FTP usado sea compatible con ellos.

Como va a gustos y/o necesidades, yo, personalmente, te propongo usar el FTPES, donde crearás un túnel certificado y cifrado desde el momento que hagas la primera conexión, con lo que van encriptadas hasta las contraseñas, y es más fácil de configurar que el FTPS. Otros te recomendarán el SFTP, pero personalmente no lo uso ni en Linux (donde es más habitual SSH).

Para el FTPES necesitas crear una llave y un certificado digital para validar la conexión con el servidor FTP, además de algunos otros parámetros, pero, por suerte, en Filezilla Server es muy sencillo y se encarga casi de todo el propio programa.
Una vez configurado el servidor FTPES necesitas configurar los clientes FTP para que trabajen en modo FTPES, ya que por defecto, la mayoría, trabajan en FTP plano, no cifrado. El Filezilla Client es compatible con todos, FTPS, FTPES y SFTP.

En la primera conexión con el servidor FTPES se descargará el certificado para validar la conexión, con lo que saltará una advertencia sobre que el certificado no es seguro por no estar firmado por una autorizad certificadora autorizada (normal, lo hemos autofirmado), ni caso, la aceptamos y le decimos que guarde el certificado... y ya está.

A partir de ahí la creación de cuentas de usuarios, cuotas, limitaciones de velocidad, etc., es como siempre se ha hecho con el Filezilla Server.

Siento no ser más explícito sobre el tema del SSL/TLS en el Filezilla... y no es porque no me guste darlo todo hecho, que también, hay que investigar por uno mismo ... pero hace muuuucho tiempo que no monto un servidor FTP bajo Windows... además que bajo Windows, comparado con, por ejemplo, bajo Linux, cualquier software de servidor FTP es un juego de niños, incluso el Serv-U.

Ah, y no te olvides de "enjaular" a los usuarios del FTP a sus correspondientes directorios home... no vaya a ser que se te paseen por partes del sistema que no deban...

Respecto al cortafuegos de Windows 7 y Filezilla Server te dejo ésto:

After installation, make sure FileZilla Server is registered as allowed programs to the built-in firewall's allowed programs. In the Control Panel, select System and Security. In Windows Firewall section, choose 'Allowed Programs' to open configuration window. Check both private and public network selection for FileZilla server. If private network is not selected, the incoming FTP connection would be blocked.

Aunque no estoy seguro... debería saltarte un mensaje de Windows preguntando si le das permiso a las conexiones entrantes para el FileZilla Server tanto para las redes privadas como para las públicas, sin falta de meterse a la configuración avanzada del propio cortafuegos de Windows 7.

Un saludo.

[oqluu]

gracias el_angel_caido por tu ayuda

Me has abierto un poco los ojos respecto a la seguridad del ftp, respecto al modo pasivo creo que ya lo entiendo y lo voy a hacer esta misma noche los pasos son configurar el rango de puertos, mapearlos en el router para la ip donde se encuentra el FTP y abrir los en firewall, esperos que en firewall se puedan abrir rangos porque si tengo que abrir uno a uno del 50000 al 51000 voy apañado, aunque por ahora con unos diez conexiones simultaneas voy listo, desde que he configurado el servidor no he visto más de 4 conexiones a la vez, no me imagino mil conexiones a la vez más que nada porque mi adsl de 50/5 mg se iría abajo, no habría manera de descargar nada y más mkv a 720 y 1080p.

Respecto al cifrado he estado mirándolo y solo encuentro la manera de configurarlo como FTPS, donde esta la opción para FTPES? y una última pregunta conoces alguna web en español donde pueda empaparme un poco sobre servidores FTP?, aunque como comento más arriba el servidor es principalmente para mi y 3 amigos más, pero nunca se sabe y quisiera tenerlo bien configurado y sobre todo seguro, ya he sufrido varios intentos de acceso no autorizado de alguien que intenta probar usuarios y claves, que he solucionado con un autoban pero si alguien avanzado intentara un ataque de fuerza bruta seguro que iba a entrar si ningún problema.

Salu2