Olimpo Informatico

[amldc]

Se vi capita di dover attivare un server FTP che offra l'accesso dall'esterno (ovvero da internet) potreste incappare in un problema che personalmente mi ha assillato per diverso tempo: si riesce ad entrare sul server ma non e' possibile visualizzare l'elenco dei contenuti remoti ne' effettuare trasferimenti. Non prendete tutto per oro colato, troverete termini ed espressioni tecnicamente poco ortodossi ma spero che i concetti siano comprensibili.

Il protocollo FTP utilizza due diverse modalita' per il trasferimento dei dati che possono incappare nel blocco da parte del firewall da uno dei due lati della connessione:

In modalita' attiva il server cerca di aprire una connessione verso il vostro sistema (che gli ha comunicato una porta su cui e' pronto ad accoglierla) per trasmettere i dati
In modalita' passiva, il server comunica al vostro sistema un numero di porta da contattare per stabilire la connessione e sara' il vostro sistema a richiedere la connessione al server

Un primo problema sussiste in modalita' attiva quando voi siete dietro ad un router o firewall che non permette al server di contattare la porta specificata dal vostro sistema; questo accade perche' il server invia la richiesta al vostro indirizzo pubblico, porta X ma nessuno ha spiegato al router che tale richiesta vada girata alla porta X vostro sistema (ovvero l'indirizzo LAN) e la richiesta va persa (non raggiungera' mail il vostro sistema e avrete quindi un bell'errore di timeout).

Questo problema viene superato utilizzando la modalita' passiva: il server comunica al vostro sistema quale porta contattare e sara' quindi il vostro sistema a tentare l'approccio. A questo punto nasce un ulteriore problema: qualcuno ha detto al firewall (del server) di far passare quella connessione ? Se il firewall e' stato messo su con criteri 'paranoici' (che personalmente considero il modo corretto di affrontare qualsiasi problematica di sicurezza lato server), probabilmente no. Di conseguenza avrete di nuovo un timeout perche' il server non risponde.

Va notato che le porte utilizzate per il trasferimento dei dati non sono fisse ma possono cambiare ad ogni connessione, per cui e' impensabile agire sul firewall dalla parte dei client (il vostro sistema) ma possiamo fare qualcosa dalla parte del server: generalmente possiamo indicare al server un intervallo di porte da utilizzare per la modalita' passiva (per certo su vsFTP, ProFTP e IIS), quindi, sul firewall, aprirle e direzionarle verso il server.

Rimane ancora un problema: probabilmente il server tendera' a specificare al client il proprio indirizzo oltre al numero di porta e nel caso il server utilizzi un indirizzo privato (ovvero sia su una LAN o DMZ con indirizzi privati), dovremo configurarlo in modo che invii invece l'indirizzo pubblico sul quale offre il servizio (ovvero l'indirizzo pubblico del router o firewall) altrimenti il nostro sistema non sara' in grado contattarlo per stabilire la connessione di trasferimento dati.

[grifone1900]

l'ultimo problema come l'hai risolto?? hai modificato qualcosa nel registro??

[amldc]