FTP-Serverproblem (Error 530)

din user är satt att logga in från ett visst ip.

När man överför data mellan en FTP-server och en FTP-klient så kan man göra det antingen med PORT- eller PASV-kommanon. Om en klient skickar PORT så innebär det att den säger "koppla upp dig mot mig på förjande IP och port". Om klienten säger "PASV" så innebär det "jag vill koppla upp mig mot dig, skicka din IP och port".

I ovanstående fall så har även klienten fått för sig att den har IP-adress "192.168.1.2". Det har den ju egentligen också, men i och med att det är en NAT-adress (som man inte kan komma åt från internet) så kommer det inte fungera så bra. Lösningen är antingen att man i klienten ställer in att den ska använda sig av PASV (Passive mode), eller att man ställer in den externa IP:n (som routern har) och öppnar portarna till korrekt intern (NAT:ad) IP.

Problemet i ovanstående fall har dock inte egentligen med detta att göra, utan att FTP-servern inte tillåter att klienter skickar PORT-kommandon (eller kopplar upp sig med PASV-kommandon) från en annan IP-adress än den som man loggade in med. Detta kallas för "FTP bounce attack" i Bulletproof och är något som man bör stänga av (ta bort bocken ur rutan) under Setup->Main->Advanced->"Block server-to-server transfer".

Som vanligt rekommenderar jag att man läser igenom denna sida några gånger tills man har koll på begreppen:
Active FTP vs. Passive FTP, a Definitive Explanation

Ja, det är en följd av att klienten skickar sin interna IP-adress i portkommandot, vilken server självklart inte kan koppla upp emot.

JohanS: Bra sida, ska ta mig en titt på den. Är nämnligen lite osäker på hur just FTP fungerar när det gäller Passive och active

Läs JohanS inlägg igen.

Som jag skrev i mitt tidigare inlägg:

"Lösningen är antingen att man i klienten ställer in att den ska använda sig av PASV (Passive mode), eller att man ställer in den externa IP:n (som routern har) och öppnar portarna till korrekt intern (NAT:ad) IP."

Jag hade tänkt låta dig lista ut hur man löser problemet själv genom att ge lite "ledtrådar", men här kommer då ett lösningsförslag.

Jag visar nu den första metoden ställa in klienten att använda "passive mode":

ANTAGANDE: Webbläsaren som du vill använda är Internet Explorer. (Mozilla Firefox använder "passive mode" som standard)

LÖSNING:

1. Först tar vi reda på hur man går tillväga för att ställa in klienten att använda "passive mode":
- Jag söker på Google på "internet explorer passive mode" och första träffen i listan är "How to Configure Passive FTP Mode in Internet Explorer"
2. Följ instruktionerna:
- Öppna Internet Explorer
- Klicka på fliken Verktyg -> Internet-alternativ -> Avancerat -> Under "Webbsökning" bocka i rutan "Använd passiv FTP (för kompabilitet med brandväggar och DSL-modem)".
- Stäng alla IE-fönster och starta om programmet
3. Klart! Nu ska det fungera att komma åt din FTP-server från en klient bakom en NAT:ande router (förutsatt att FTP-servern har en "äkta" IP-adress)

Servern ska inte köras i någonting (eller båda egentligen). Det är klienterna som bestämmer om det ska vara passive eller active mode vid dataöverföringar.

FXP ska vara aktiverat (rutan inte ibockad) om du vill att klienterna ska kunna ladda upp/ner data till andra datorer än den dom kopplar upp sig från (det som kallas FXP). Vanligtvis gör man kanske inte detta, men det kan vara bra att låta den funktionen vara tillgänglig. Anledningen till att valet finns är att man kan utnytja denna funktion för en viss typ av DOS-attack där en klient lurar din server att skicka massa data till ett "offer" på nätet. Men det är inte speciellt vanligt.