Escolar Documentos
Profissional Documentos
Cultura Documentos
O que
e FTP?
Funcionamento do protocolo
2.1
Transfer
encia cliente-servidor
Nela, tanto a tranferencia de dados quanto a comunicacao de controle acontecem entre o cliente e o servidor. Pode ocorrer em modo passivo ou ativo,
dependendo se a conexao de dados e originada a partir do cliente ou do
servidor.
2.1.1
Modo ativo
Modo passivo
2.2
Transfer
encia servidor-servidor
Servidor B
SOCK A 10000
RTRV
O fato das conexoes de dados no protocolo FTP nao terem enderecos nem
sentidos (qual lado as estabelecem) fixos implica algumas complicacoes na
configuracao de servidores e clientes FTP atras de filtros de pacotes. Nesta
secao vamos mostrar algumas configuracoes que devem ser feitas para permitir o seu funcionamento. Para a conexao de controle as regras sao simples,
no filtro do lado servidor temos:
1. Repassar os pacotes destinados ao servidor FTP na porta 21, originados
de qualquer endereco IP e porta maior que 1023 (SYN, ACK e dados).
2. Repassar os pacotes originarios do servidor FTP, porta 21, com destino
a` qualquer endereco IP e porta maior que 1023 (somente ACK e dados).
E no lado cliente:
1. Repassar os pacotes destinados a qualquer endereco IP, porta 21, originados de qualquer endereco IP da rede interna e porta maior que 1023
(SYN, ACK e dados).
2. Repassar os pacotes originarios de qualquer endereco IP, porta 21, com
destino a` qualquer endereco IP da rede interna e porta maior que 1023
(somente ACK e dados).
Ja para a conexao de dados as regras variam conforme o modo de operacao,
conforme veremos a seguir.
5
3.1
Modo ativo
Quando temos operacoes em modo ativo o filtro do lado cliente devera ter
regras para permitir que sua maquina aceite conexoes externas para que o
servidor possa iniciar a conexao de dados. Essas regras sao mostradas a
seguir. Lado servidor:
1. Repassar os pacotes originarios de qualquer endereco IP, porta maior
que 1023, com destino ao servidor FTP, porta 20 (ACK e dados).
2. Repassar os pacotes destinados a qualquer endereco IP, porta maior
que 1023, originados do servidor FTP, porta 20 (SYN, ACK e dados).
Lado cliente:
1. Repassar os pacotes originarios de qualquer endereco IP, porta 20, com
destino a` qualquer endereco IP da rede interna e porta maior que 1023
(SYN, ACK e dados).
2. Repassar os pacotes destinados a qualquer endereco IP, porta 20, originados de qualquer endereco IP e porta da rede interna (ACK e dados).
A regra n
umero 1 do lado cliente o coloca num cenario muito exposto do
ponto de vista da seguranca.
3.2
Modo passivo
No modo passivo o filtro no lado servidor tera que aceitar todas as conexoes
nas portas acima de 1023, pois estas poderao o ser utilizadas pelo servico de
FTP. Isto e implementado atraves das regras a seguir. Lado servidor:
1. Repassar os pacotes originarios de qualquer endereco IP, porta maior
que 1023, com destino ao servidor FTP e porta maior que 1023 (SYN,
ACK e dados).
2. Repassar os pacotes destinados a qualquer endereco IP, porta maior
que 1023, originados do servidor FTP, porta maior que 1023 (ACK e
dados).
Lado cliente:
6