Іноді простіше і швидше передати файл через власний ftp-сервер, ніж закачувати на файлообмінник. Нижче розглянута процедура установки і настройки ftp-сервера IIS, що входить до складу Windows 7.
FTP-сервер входить до складу служб IIS. Для його установки відкриваємо Панель управління -\u003e Програми -\u003e Включення або відключення компонентів Windows. Розкриваємо розділ Служби IIS і ставимо галочки навпроти наступних компонентів: Служба FTP і Консоль управління IIS.
Налаштування FTP-сервера.
Відкриваємо Панель управління -\u003e Система і безпека -\u003e Адміністрування -\u003e Керування комп'ютером (можна швидше: меню Пуск -\u003e правий клік на Комп'ютер -\u003e в меню вибрати пункт Управління). У вікні розкриваємо групу Служби і додатки і відкриваємо Диспетчер служб IIS. У вікні Підключення вибираємо папку Сайти, потім в правому вікні Дії натискаємо на посилання Додати FTP-сайт.
У майстра створення ftp-сайту вказуємо його назву і розташування (за замовчуванням c: \\ inetpub \\ ftproot).
Далі вказуємо параметри прив'язки і SSL. Розділ прив'язка залишаю без змін. Опцію "Запускати ftp-сайт автоматично" відключаю (ftp мені потрібен тільки час від часу). У розділі SSL виставляю опцію "Без SSL".
У наступному вікні залишаємо все без змін і натискаємо Готово.
Сайт створено. Тепер можна перейти до додаткових параметрів для тонкої настройки (наприклад обмежити максимальну кількість одночасних підключень). Виділіть щойно створений сайт, праворуч в панелі Дії натисніть на Додаткові параметри.
Наступний етап - налаштування брандмауера Windows. Відкрийте Панель управління -\u003e Система і безпека -\u003e Брандмауер Windows -\u003e Додаткові параметри. У розділі "Правила для вхідних підключень" знаходимо і активуємо "FTP-сервер (вхідний трафік)" і "FTP Server Passive (FTP Passive Traffic-In)". Останнє правило дозволяє підключатися ftp-клієнта в пасивному режимі.
У розділі "Правила для вихідного підключення" знаходимо і активуємо "FTP Server (FTP Traffic-Out)".
Якщо в системі встановлено додатковий брандмауер (Comodo, Outpost і т.п.), то в ньому також необхідно відкрити порт 21 (TCP) для вхідних підключень і порт 20 (TCP) для вихідних.
Якщо підключення до Інтернет здійснюється за допомогою маршрутизатора, і ви хочете зробити свій сервер доступним інтернет-користувачам, тоді необхідно налаштувати кидок портів на маршрутизаторі. На моєму Dlink DI-804HV це виконується в розділі Virtual Server.
192.168.10.4 - ip-адреса ftp-сервера в локальній мережі.
Налаштування прав користувачів.
Якщо залишити все як є, то підключитися до ftp-серверу зможе будь-який користувач (включений анонімний доступ) з правами тільки на читання (можна скачувати, але записувати і змінювати файли не можна). Припустимо, що нам потрібно зробити доступ для довірених користувачів, які мали б права записи і зміни файлів.
Відкриваємо Панель управління -\u003e Система і безпека -\u003e Адміністрування -\u003e Керування комп'ютером (Пуск -\u003e правий клік на Комп'ютер -\u003e в меню вибрати пункт Управління). Далі розкриваємо групу Локальні користувачі та групи (дана опція доступна лише в редакціях Бізнес і Максимальна). Правий клік на папці Групи, в меню вибираємо Створити групу.
Вводимо назву групи - Користувачі FTP, опис (можна не вводити) і натискаємо кнопку Створити.
Тепер необхідно створити користувача. Робимо правий клік на папці Користувачі і в меню вибираємо Новий користувач.
Вводимо ім'я користувача (наприклад ftp_user_1), пароль (не менше 6 символів), виставляємо галочки навпроти опцій "Заборонити зміну пароля користувачем" і "Термін дії пароля не обмежений".
Аккаунт було створено. Тепер необхідно присвоїти йому раніше створену групу Користувачі ftp. Для цього відкриваємо властивості користувача і переходимо на закладку "Членство в групах". За замовчуванням новому користувачеві присвоюється група Користувачі, видаляємо її. Натискаємо кнопку Додати -\u003e Додатково -\u003e Пошук. Відкриється список груп користувачів. Вибираємо групу Користувачі FTP і натискаємо Ok. В результаті отримуємо:
Натискаємо Ok і переходимо до наступного етапу.
На етапі створення ftp-сайту нам було необхідно вибрати робочий каталог (c: \\ inetpub \\ ftproot). Тепер для групи "Користувачі FTP" необхідно налаштувати права доступу до цього каталогу. Відкриваємо c: \\ inetpub в провіднику, відкриваємо властивості папки ftproot, переходимо на закладку Безпека і натискаємо кнопку Змінити. У вікні, натискаємо кнопку Додати і вибираємо групу "Користувачі FTP" (як при створенні користувача). Встановлюємо рівень прав - "Повний доступ" і натискаємо Ок.
Останній етап. Знову відкриваємо Диспетчер служб IIS і виділяємо наш ftp-сервер (Test FTP). В панелі управління ftp-сайтом вибираємо "Правила авторизації FTP". Додаємо дозволяє правило. У вікні вибираємо опцію "Зазначені ролі або групи користувачів". Внизу в текстовому полі руками прописуємо назву нашої групи (Користувачі FTP), далі ставимо галочки в розділі Дозволи навпаки Читання і Запис і натискаємо Ок.
На цьому настройка завершена.
На початку ми не вибрали опцію автоматичного запуску сервера, тому не забуваємо запустити його вручну (правий клік на назві сайту -\u003e Управління FTP-сайтом -\u003e Пуск).
Як підключитися?
Варіант з використанням провідника Windows.
Відкриваємо Комп'ютер (Vista, Win 7) або Мій Комп'ютер (XP).
Для анонімного доступу просто вводимо в адресний рядок адресу сервера (ftp://192.168.10.4).
Щоб увійти з ім'ям користувача і паролем вводимо адресу виду: ftp: // [ім'я користувача]: [пароль] @ [адреса ftp-сервера]. Наприклад ftp: // ftp_user_1: [Email protected] - для підключення з локальної мережі. Для підключення з Інтернет локальну адресу замінюємо на зовнішній або на доменне ім'я.
Як зробити свій ftp-сервер доступним з Інтернет?
Якщо комп'ютер підключений до Інтернет на пряму, то ніяких додаткових дій робити не потрібно.
Якщо комп'ютер підключений до Інтернет через роутер, тоді в панелі управління роутера необхідно налаштувати форвардного порту TCP 21 (часто це ще називають віртуальним сервером). .
Більшість користувачів ПК хоча б раз чули про програму FileZilla, яке через клієнтський інтерфейс передає і приймає дані по протоколу FTP. Але мало хто знає, що у цього додатка існує серверний аналог - FileZilla Server. На відміну від звичайної версії, дана програма реалізує процес передачі даних по протоколах FTP і FTPS на серверній стороні. Давайте вивчимо основні настройки програми FileZilla Server. Це особливо актуально, враховуючи той факт, що існує тільки англомовний варіант даної програми.
Відразу ж, після досить простого і інтуїтивно зрозумілого для практично будь-якого користувача процесу установки, в FileZilla Server запускається вікно, в якому потрібно вказати ваш хост (або IP-адреса), порт і пароль. Ці настройки потрібні для підключення до особистого кабінету адміністратора, а не до доступу по FTP.
Поля найменувань хоста і порту, як правило, заповнюються автоматично, хоча, при бажанні ви зможете змінити перше з цих значень. А ось пароль доведеться придумати самому. Заповнюємо дані і тиснемо на кнопку Connect (Підключення).
Загальні налаштування
Тепер перейдемо до загальних налаштувань програми. Потрапити в секцію налаштувань можна, натиснувши на розділ верхнього горизонтального меню Edit, а потім вибравши пункт Setting.
Перед нами відкриється посібник програми. Відразу ж ми потрапимо в розділ Основних налаштувань (General Settings). Тут потрібно встановити номер порту, до якого будуть підключатися користувачі, і вказати максимальне їх число. Потрібно відзначити, що параметр «0» означає необмежену кількість користувачів. Якщо з якоїсь причини їх число потрібно обмежити, то проставляйте відповідну цифру. Окремо встановлюється кількість потоків. У підрозділі «Timeout settings», налаштовується величина таймаута до наступного підключення, при відсутності відгуку.
У розділі «Welcome message» можна вписати вітальне повідомлення для клієнтів.
Наступний розділ «IP bindings» дуже важливий, так як саме тут проставляються адреси, за якими сервер буде доступним для інших осіб.
У вкладці «IP Filter», навпаки, вписують заблоковані адреси тих користувачів, підключення яких до сервера небажано.
У наступному розділі «Passive mode setting» можна вписати параметри роботи в разі застосування пасивного режиму передачі даних по FTP. Ці настройки досить індивідуальні, і без особливої \u200b\u200bпотреби їх чіпати не рекомендується.
Підрозділ «Security Settings» відповідає за безпеку підключення. Як правило, тут робити зміни не потрібно.
У вкладці «Miscellaneous» виробляються дрібні настройки зовнішнього вигляду інтерфейсу, наприклад його згортання, і установка інших малозначних параметрів. Краще за все, ці настройки теж залишити без змін.
У розділі «Admin Interface Settings» вводяться настройки доступу до адміністрування. По суті, це ті ж настройки, які ми вводили при першому включенні програми. В даній вкладці, при бажанні, їх можна змінити.
У вкладці «Logging» проводиться включення створення лог-файлів. Тут же можна вказати їх допустимий максимальний розмір.
Назва вкладки «Speed \u200b\u200bLimits» говорить сама за себе. Тут при необхідності встановлюється розмір швидкості передачі даних, як по вхідному каналу, так і по вихідному.
У розділі «Filetransfer compression» можна включити компресію файлів при їх передачі. Це допоможе заощадити трафік. Тут же слід вказати максимальний і мінімальний рівень компресії.
У розділі «FTP over TLS settings» налаштовується захищене з'єднання. Тут же при його наявності слід вказати місцезнаходження ключа.
В останній вкладці з розділу налаштувань «Autoban» можливе включення автоматичного блокування користувачів, в разі перевищення ними попередньо зазначеного числа невдалих спроб підключення до сервера. Тут же слід зазначити, який період часу блокування буде діяти. Ця функція ставить перед собою мету запобігання злому сервера або проведення різних атак на нього.
Настройки призначеного для користувача доступу
Для того, щоб налаштувати користувальницький доступ до сервера, переходимо через пункт головного меню Edit в розділ Users. Після цього відкривається вікно управління користувачами.
Щоб додати нового учасника, потрібно натиснути на кнопку «ADD».
У вікні потрібно вказати ім'я нового користувача, а також, при бажанні, групу, до якої він належить. Після того, як дані настройки зроблені, тиснемо на кнопку «OK».
У наступному розділі «Share Folders» призначаємо, до яких саме тек користувач отримає доступ. Для цього натискаємо на кнопку «ADD», і вибираємо папки, які вважаємо потрібними. У цьому ж розділі є можливість встановити права для даного користувача на читання, запис, видалення і зміна папок і файлів зазначених директорій.
У вкладках «Speed \u200b\u200bLimits» і «IP Filter» можна виставити індивідуальні обмеження швидкості і блокування для конкретного користувача.
Після завершення всіх налаштувань, тиснемо на кнопку «OK».
налаштування груп
Тепер переходимо в розділ редагування налаштувань груп користувачів.
Тут проводимо повністю аналогічні налаштування тим, які виконувалися для окремих користувачів. Як ми пам'ятаємо, зарахування користувача до конкретної групи проводилося на етапі створення його облікового запису.
Як бачимо, не дивлячись на складність, настройки програми FileZilla Server не такі вже й заумні. Але, безумовно, для вітчизняного користувача певні труднощі становитиме той факт, що інтерфейс цього додатка повністю англомовний. Втім, якщо дотримуватися покрокової інструкції даного огляду, то проблем при установці налаштувань програми у користувачів бути не повинно.
Успішна передача даних по FTP вимагає дуже точної і скрупульозної настройки. Правда, в новітніх програмах-клієнтах, значною мірою цей процес автоматизований. Проте, потреба вносити основні настройки для з'єднання все-таки залишилася. Давайте на докладному прикладі вивчимо, як відбувається налаштування програми FileZilla - найпопулярнішого FTP-клієнта на сьогоднішній день.
У більшості випадків, якщо ваше з'єднання здійснюється не через фаєрвол роутера, і провайдер зв'язку або адміністратор сервера не висувають якихось особливих умов для підключення через протокол FTP, то цілком достатньо для здійснення передачі контенту внести відповідні записи в Менеджер сайтів.
Для цих цілей переходимо в розділ верхнього меню «Файл», і вибираємо пункт «Менеджер сайтів».
Можна також перейти в Менеджер сайтів, відкривши відповідний значок на панелі інструментів.
Перед нами відкривається Менеджер сайтів. Щоб додати підключення до сервера, тиснемо на кнопку «Новий сайт».
Як бачимо, в правій частині вікна поля стали доступними для редагування, а в лівій частині з'являється назва нового підключення - «Новий сайт». Втім, ви можете перейменувати його так, як вам захочеться, і як дане підключення зручніше для вас буде сприйматися. На настройки з'єднання даний параметр впливати ніяк не буде.
Далі переходимо до правої частини Менеджера сайтів, і починаємо заповнювати настройки для облікового запису «Новий сайт» (або як ви по-іншому її назвете). У графу «Хост» записуємо адресу в буквеної формі або IP-адресу сервера, з яким збираємося з'єднатися. Дане значення потрібно отримати на самому сервері від адміністрації.
Протокол передачі файлів вибираємо підтримуваний тим сервером, до якого ми виробляємо підключення. Але, в більшості випадків, залишаємо дане значення за замовчуванням «FTP - протокол передачі файлів».
У графі шифрування, теж по можливості залишаємо дані за замовчуванням - «Використовувати явний FTP через TLS якщо доступний». Це дозволить максимально захистити з'єднання від зловмисників. Тільки якщо виникають проблеми з підключенням по захищеному з'єднанню TLS, є сенс вибрати пункт «Використовувати звичайний FTP».
Тип входу за замовчуванням в програмі встановлений анонімний, але більшість хостингів і серверів не підтримують анонімне з'єднання. Тому вибираємо або пункт «Нормальний», або «Запит на пароль». Потрібно відзначити, що при виборі нормального типу входу, ви будете підключатися до сервера через обліковий запис автоматично без введення додаткових даних. При виборі пункту «Запит на пароль» кожен раз доведеться вводити пароль вручну. Але цей спосіб, хоча і менш зручний, з точки зору безпеки більш привабливий. Так що вирішувати вам.
У наступних полях «Користувач» і «Пароль» ви вводите логін і пароль, видані вам на сервері, до якого збираєтеся підключитися. У деяких випадках ви потім можете при бажанні змінити їх, заповнивши відповідну форму безпосередньо на хостингу.
В інших вкладках Менеджера сайтів «Додатково», «Налаштування передачі» і «Кодування» ніяких змін вносити не потрібно. Всі значення повинні залишатися за замовчуванням, і тільки в разі якихось неполадок в з'єднанні, відповідно до їх конкретними причинами, в даних вкладках можна вносити зміни.
Після того, як ми ввели всі настройки, щоб зробити їх збереження, тиснемо на кнопку «OK».
Тепер ви можете підключатися до відповідного серверу, перейшовши через менеджер сайтів в потрібний обліковий запис.
Загальні налаштування
Крім налаштувань з'єднання до конкретного сервера, в програмі ФайлЗілла існують загальні настройки. За замовчуванням в них виставлені найбільш оптимальні параметри, так що часто користувачі в даний розділ ніколи не заходять. Але бувають індивідуальні випадки, коли в загальних налаштуваннях все-таки потрібно зробити певні маніпуляції.
Для того, щоб потрапити в менеджер загальних налаштувань, переходимо в розділ верхнього меню «Редагування», і вибираємо пункт «Налаштування ...».
У першій вкладці «З'єднання» вводяться такі параметри підключення, як час очікування, максимальне число спроб підключення і пауза між очікуваннями.
У вкладці «FTP» вказується тип FTP-підключення: пасивний або активний. За замовчуванням виставлений пасивний тип. Він більш надійний, тому що при активному підключенні при наявності файерволов і нестандартних налаштувань на стороні провайдера можливі дефекти підключення.
У розділі «Передачі» проводиться налаштування кількості одночасних передач. У цій графі можна вибрати значення від 1 до 10, але за замовчуванням стоїть 2 підключення. Також при бажанні, ви можете в цьому розділі вказати обмеження швидкості, хоча за замовчуванням вона не обмежена.
У розділі «Інтерфейс» можна редагувати зовнішній вигляд програми. Це, напевно, єдиний розділ загальних налаштувань, для якого допустимо зміна налаштувань за замовчуванням, навіть якщо з'єднання відбувається коректно. Тут можна вибрати один з чотирьох доступних видів розкладки панелей, вказати позицію журналу повідомлень, встановити сворачиваемость програми в трей, провести інші зміни в зовнішньому вигляді додатку.
Назва вкладки «Мова» говорить сама за себе. Тут можна вибрати мову інтерфейсу програми. Але, так як FileZilla автоматично визначає мову, встановлений в операційній системі, і вибирає його за замовчуванням, то в більшості випадків, і в цьому розділі ніяких додаткових дій робити не потрібно.
У розділі «Виправлення файлів» є можливість призначити програму, за допомогою якої можна буде віддалено редагувати файли прямо на сервері без скачування їх.
У вкладці «Оновлення» існує доступ до установки періодичності перевірки оновлень. За замовчуванням вказана один тиждень. Можна виставити параметр «кожен день», але з огляду на реальні терміни виходу оновлень, це буде зайве частий параметр.
У вкладці «Вхід» є можливість включити запис лог-файлу, і встановити його максимальний розмір.
Останній розділ - «Налагодження» дозволяє включити меню налагодження. Але ця функція доступна лише для дуже просунутих користувачів, так що для людей, які тільки знайомляться з можливостями програми FileZilla, вона точно ні до чого.
Як бачимо, в більшості випадків, для коректної роботи програми ФайлЗілла досить зробити настройки тільки в Менеджері сайтів. Загальні налаштування програми за замовчуванням вже підібрані найбільш оптимальні, і є сенс втручання в них тільки в тому випадку, якщо спостерігаються якісь проблеми з роботою програми. Але навіть в цьому випадку, дані настройки потрібно виставляти строго індивідуально, з оглядкою на особливості операційної системи, вимог провайдера і сервера, а також встановлених антивірусів і файерволов.
У цьому розділі буде коротко розглянута історія і технічні відомості, що стосуються протоколу FTP. Для отримання докладної інформації, дивіться технічні характеристики.
історичні відомості
На тлі швидко розвивається мережі Інтернет протокол FTP виглядає не просто старим, а дійсно архаїчним. Ранні чорнові специфікації протоколу датуються 1971 им роком, складання поточної специфікації розпочато в 1985-му. Протягом останніх двох десятиліть протокол не змінювався у своїй основі.
В ті часи мережею Інтернет користувалися в основному університети і дослідницькі центри. Спільнота користувачів було невеликим, більшість з них знали один одного і всі працювали спільно. Інтернет був доброзичливою мережею, а проблеми безпеки як такої не стояло.
Ті часи минули і багато що змінилося. Технологічний прогрес ішов швидше, ніж будь-хто міг собі уявити, одночасно виросло нове покоління користувачів. Інтернет тепер - повсюдне явище, завдяки якому мільйони людей спілкуються один з одним безліччю різних способів. Головне відчутна зміна: Інтернет став ворожим. Доступність і відкритість мережі привернула зловмисних користувачів, активно експлуатують помилки і недосвідченість інших.
Побічним ефектом такого розвитку подій стали, такі явища:
- NAT -роутери. Більшість мережі використовує протокол IPv4, який має обмежене адресний простір (IPv6 розроблений вирішити цю проблему). Завдяки NAT-роутера системи з великою кількістю пристроїв можуть користуватися одним і тим же IP-адресою.
- Персональні файрволи для захисту користувачів від недоробок операційних систем і додатків.
У більшості випадків ці явища конфліктують з роботою протоколу. Ситуацію погіршують недоробки в самих роутерах і файрвол.
Проте, при правильному налаштуванні FTP пропонує надійний і випробуваний спосіб передачі файлів.
Технічні відомості
Основні відміну FTP від \u200b\u200bінших протоколів - використання вторинних підключень для передачі файлів. При підключенні до FTP-сервера створюється т.зв. контрольне підключення, Через яке передаються команди протоколу і відповіді на ці команди. Для того, щоб передати файл або лістинг директорії, клієнт повинен відіслати команди через контрольне підключення, після чого буде створено підключення для передачі даних.
Існує два способи створення цього підключення: активний і пасивний режими.
У пасивному режимі, який є рекомендованим, клієнт відсилає сервера команду PASV, на яку сервер відповідає адресою. Після цього клієнт відсилає команду для передачі файлу або лістингу директорії і створює вторинне підключення за адресою, який був отриманий від сервера.
В активному режимі клієнт відкриває сокет на локальному пристрої і відсилає сервера адреса сокета за допомогою команди PORT. Після відсилання команди передачі файлу або лістингу сервер створює підключення по заданому адресою, яка була вказана клієнтом.
В обох випадках файл / лістинг будуть передані через підключення для передачі даних.
Створення вихідних підключень вимагає завдання меншої кількості параметрів для роутерів / файрволов, ніж створення вхідних підключень. У пасивному режимі, підключення є вихідним від клієнта і входять для сервера. В активному режимі клієнт і сервер міняються ролями - вхідне підключення для клієнта і виходить для сервера.
Візьміть до уваги, що різниця полягає тільки в порядку підключення, після створення підключення для передачі даних, дані можуть як завантажуватися, так і розвантажуватися.
Типова мережева конфігурація може виглядати так:
Таким чином, в пасивному режимі роутер і файрвол на стороні сервера повинні бути налаштовані для прийому і перекидання вхідних підключень. У свою чергу, на стороні сервера повинні бути дозволені тільки вихідні підключення, а в більшості випадків вихідні підключення дозволені.
Аналогічно в активному режимі роутер і файрвол на клієнтській стороні повинні бути налаштовані для прийому і перекидання вхідних підключень. Очевидно, на стороні сервера повинні бути дозволені тільки вихідні підключення.
Оскільки сервер зазвичай обслуговує багато клієнтів, набагато легше налаштувати роутер і файрвол на стороні сервера один раз для пасивного режиму, ніж налаштовувати клієнтський роутер / файрвол для кожного клієнта в активному режимі. Саме тому пасивний режим є рекомендованим.
NAT-роутери
У більшості користувачів широкосмугового підключення NAT-роутер розташований між їх комп'ютером і мережею. Це може бути самостійний пристрій (можливо бездротової роутер), або ж вбудований роутер в DSL- або кабельному модемі. У середовищі NAT всі пристрої за роутером складають локальну мережу (LAN), кожне з пристроїв в мережі мають локальний IP-адресу (чотири невеликих числа розділених точками). NAT-роутер в свою чергу має свій локальний IP-адресу, а також зовнішній IP-адреса для ідентифікації в глобальній мережі. Локальні адреси дійсні тільки всередині LAN, віддалений пристрій вони не мають сенсу. приклад:
Припустимо, що сервер знаходиться за NAT-роутером. Змоделюємо ситуацію, в якій клієнт підключається в пасивному режимі, але сервер не надано зовнішній IP-адреса роутера. У цьому випадку сервер відсилає свій локальний адресу клієнту, після чого можуть відбутися дві речі:
- Якщо клієнт не має бажання всередині NAT, підключення буде розірвано, тому що адреса сервера не є дійсним.
- Якщо клієнт розташований всередині NAT, адреса сервера може збігатися з адресою пристрою в мережі самого клієнта.
Очевидно, в обох випадках пасивний режим не спрацює.
Таким чином, якщо сервер знаходиться за NAT-роутером, йому повинен бути наданий IP-адреса роутера для роботи пасивного режиму. В обох випадках сервер відсилає зовнішній адресу роутера клієнту. Клієнт створює підключення до роутера, який в свою чергу передає підключення на сервер.
файрволи
призначенням персонального файрвола є захист користувача від уразливості в безпеці операційної системи або використовуваних додатків. Шкідливі додатки, наприклад, черви, часто використовують ці вразливості для зараження вашої системи через мережу. Файрволи допомагають уникнути таких випадків.
Особливо при використанні FTP користувачі файрволу можуть отримувати такі повідомлення:
Trojan Netbus заблокований на порту 12345, який використовується процесом FileZilla.exe
Майже у всіх випадків таке повідомлення - помилкова тривога. Будь-який додаток може вибрати будь-який порт для повідомлення через інтернет. Може трапитися так, що FileZilla вибере порт, випадково є портом за замовчуванням для трояна або інший шкідливої \u200b\u200bпрограми. Дистрибутив FileZilla скачаний з офіційного сайту не містить вірусів.
Розумні роутери, файрволи, і саботаж даних
Деякі роутери або файрволи досить розумні. Вони аналізують підключення і при виявленні FTP-підключення безшумно підміняють дані передаються між клієнтом і сервером. Така поведінка є саботажем даних і може завдати неприємностей, якщо користувач не дозволив таку поведінку явно.
Наведемо приклад. Припустимо, що клієнт знаходиться за NAT-роутером і намагається підключитися до сервера. Припустимо також, що клієнт не обізнаний в тому, що він знаходиться за NAT і використовує активний режим. Клієнт відсилає команду PORT зі своїм локальним, немаршрутізіруемим IP-адресою, серверу:
PORT 10,0,0,1,12,34
Ця команда вказує сервера на підключення за адресою 10.0.0.1 на порту 12 * 256 + 34 \u003d 3106
Після цього NAT-роутер безшумно підміняє команду, включаючи зовнішній IP-адреса, а також створює тимчасовий порт для перекидання FTP-сесії, можливо навіть на іншому порту:
PORT 123,123,123,123,24,55
Ця команда вказує сервера на підключення за адресою 123.123.123.123 на порту 24 * 256 + 55 \u003d 6199
Завдяки такій поведінці NAT-роутер дозволяє неправильно налаштованому клієнту використовувати активний режим.
Чому така поведінка не є прийнятним? Якщо ця можливість використовується за умовчанням, без згоди користувача, з цього випливає безліч проблем. FTP-підключення в своїй основі буде працювати, але відразу після вичерпання тривіальних випадків використання передача буде розірвана, не залишаючи особливих засобів діагностики проблеми.
- NAT-роутер сліпо передбачає, що деякі підключення належать FTP грунтуючись на таких даних, як цільові порти або відповіді сервера:
- Немає ніякої гарантії щодо використовуваного протоколу, незважаючи на автоматичне визначення (такі випадки називають помилковою тривогою). Хоч це і малоймовірно, цілком допустимо, що в майбутніх версіях протоколу FTP синтаксис команди PORT може змінитися. NAT-роутер, модифікуючи команду PORT, змінює без відома користувача параметри, які він не підтримує, через що з'єднання буде розірвано.
- Визначення протоколу роутером може не розпізнати FTP. Припустимо, що роутер стежить тільки за цільовим портом, а якщо цей порт 21-ий, він буде розпізнано як FTP. Підключення в активному режимі від неправильно налаштованого клієнта до сервера на 21-му порту будуть працювати, але підключення до інших серверів на нестандартних портах - немає.
- Очевидно, що NAT-роутер не зможе модифікувати підключення, якщо FTP-сесія зашифрована, залишаючи користувача в подиві, тому що працювати будуть тільки незашифровані підключення.
- Припустимо, що клієнт за NAT-роутером відсилає "PORT 10,0,0,1,12,34". Яким чином NAT-роутер обізнаний в тому, що клієнт налаштований неправильно? Також можливий випадок з правильно налаштованим клієнтом, який ініціює FXP (сервер-сервер) передачу між сервером, до якого він підключений і пристроєм, який знаходиться в локальній мережі сервера.
Як ми бачимо, можливості специфічні для протоколів, включені на NAT-роутер за замовчуванням можуть викликати безліч проблем. Хороший NAT-роутер завжди і повністю працює з протоколом без інформації про самому протоколі. Винятком може бути випадок, коли користувач явно застосував цю можливість і усвідомлює всі можливі наслідки.
В цьому підрозділі ми розглядали поєднання NAT-роутера на стороні клієнта в активному режимі, ті ж міркування застосовуються і в разі сервера за NAT і відповідями на команду PASV.
Налаштування клієнта FileZilla
Очевидно, що для підключення до будь-якого сервера ваш файрвол повинен дозволити такі дії для FileZilla. Більшість звичайних FTP-серверів використовують 21-ий порт, SFTP-сервери - 22-ий, а FTP через SSL / TLS (неявний режим) за замовчуванням - 990-ий. Номери портів не є жорстко заданими, тому найкраще дозволити вихідні підключення на будь-який порт.
Оскільки в інтернеті досить неправильно налаштованих серверів, або серверів, які не підтримують обидва режими передачі, вам рекомендуються обидва режими передачі на своєму боці.
пасивний режим
Клієнт не може вказувати сервера вибір порту для передачі даних в пасивному режимі, тому для використання пасивного режиму вам потрібно дозволити вихідні підключення з будь-якого порту на своєму комп'ютері.
активний режим
В активному режимі клієнт відкриває сокет і очікує від сервера підключення для передачі.
За замовчуванням клієнт FileZilla запитує у операційної системи IP-адреса і вільний номер порту. Така конфігурація спрацює тільки в разі прямого з'єднання з інтернетом без NAT-роутерів, також ваш файрвол повинен дозволяти створення підключень на всіх портах за 1024-го.
Якщо у вас є NAT-роутер, вам потрібно вказати FileZilla зовнішній IP-адреса, в іншому випадку з'єднання в активному режимі не спрацюють для серверів поза вашої локальної мережі:
- Статична IP-адреса можна вказати в діалозі настройки FileZilla.
- Якщо ваш IP-адреса динамічний, у вас є можливість дозволити FileZilla отримувати зовнішній IP-адреса на спеціальному сайті автоматично кожного разу при запуску. Ніяка інформація не буде передана від вас на цей сайт, крім версії використовуваного клієнта FileZilla.
Якщо ви не хочете дозволяти вхідні з'єднання на всіх портах, або ваш комп'ютер розташований за NAT-роутером, вкажіть FileZilla використовувати певний діапазон портів для з'єднань в активному режимі. Цей діапазон також потрібно буде відкрити для вашого файрвола. При наявності NAT-роутера вам потрібно перекинути ці порти на локальний комп'ютер, на якому встановлений FileZilla. Ви можете перекинути діапазон портів, або ж кожен порт окремо, це залежить від моделі вашого роутера.
TCP
Налагодження та тестування сервера FileZilla
Налаштування сервера здебільшого повторює настройку клієнта, головною відмінністю є те, що в разі сервера активний і пасивний режими міняються ролями.
Важливо відзначити, що перевірка роботи сервера в більшості випадків відбувається помилковим чином, особливо часто цю помилку допускають власники NAT-роутерів. Перебуваючи всередині локальної мережі, ви зможете протестувати сервер, тільки використовуючи локальний IP-адресу. Використання зовнішнього адреси всередині локальної мережі в більшості випадків не спрацює по одній з наведених причин:
- Роутер заблокує доступ до свого зовнішнього адресою зсередини локальної мережі як можливу атаку
- Роутер перекине з'єднання вашому провайдеру, який заблокує його як можливу атаку.
Навіть якщо вам вдалося підключитися, у вас немає ніякої гарантії того, що користувачеві з зовнішньої мережі вдасться це зробити і, крім того, завантажувати файли на ваш сервер. Єдиний надійний засіб перевірки роботи сервера - підключення ззовні вашої локальної мережі.
активний режим
Переконайтеся, що сервера FileZilla дозволено створювати вихідні підключення з будь-якого порту, тому що в цьому режимі клієнт визначає порт для з'єднання.
На локальної стороні підключення сервер FileZilla намагається використовувати порт зі значенням на одиницю нижче, ніж у порту для контрольного з'єднання (наприклад, порт 20, якщо сервер отримує підключення на порту 21). Тим не менш, це не завжди можливо, тому не слід завжди покладатися на цю особливість.
пасивний режим
Налаштування сервера в цьому випадку практично повторює настройку клієнта в активному режимі.
У пасивному режимі сервер відкриває сокет і очікує з'єднання від клієнта.
За замовчуванням сервер FileZilla запитує у операційної системи IP-адреса комп'ютера і вільний порт. Ця конфігурація є робочою тільки, якщо комп'ютер безпосередньо підключений до інтернету без NAT-роутерів і встановленим для файрволу дозволом на підключення до вашого комп'ютера по всіх портах за 1024-го.
При наявності NAT-роутера вам потрібно повідомити сервер FileZilla ваш зовнішній IP-адреса, в іншому випадку з'єднання в пасивному режимі працюватимуть тільки всередині локальної мережі:
- Статична IP-адреса можна вказати в діалозі настройки сервера FileZilla.
- Якщо ваш IP-адреса динамічний, у вас є можливість дозволити серверу FileZilla отримувати зовнішній IP-адреса на спеціальному сайті автоматично при кожному запуску. Ніяка інформація не буде передана від вас на цей сайт, крім версії використовуваного сервера FileZilla.
Якщо ви не впевнені у своєму виборі, використовуйте другий варіант.
Якщо ви не хочете дозволяти вхідні з'єднання на всіх портах, або ваш комп'ютер розташований за NAT-роутером, вкажіть сервера FileZilla використовувати певний діапазон портів для з'єднань в активному режимі. Цей діапазон також потрібно буде відкрити для вашого файрвола. При наявності NAT-роутера вам потрібно перекинути ці порти на локальний комп'ютер, на якому встановлено сервер FileZilla. Ви можете перекинути діапазон портів, або ж кожен порт окремо, це залежить від моделі вашого роутера.
Доступні порти знаходяться в діапазоні від 1 до 65535, порти нижче 1024-го зарезервовані для інших протоколів. Для активного режиму FTP кращим вибором є номер порту рівний або вище 50000. У зв'язку з влаштуванням протоколу TCP (протокол, який знаходиться нижче рівня FTP та використовується для передачі даних), порт не може бути використаний повторно відразу після кожного підключення. Таким чином, діапазон портів не повинен бути надто вузьким, в іншому випадку ви не зможете передати багато файлів малого розміру. У більшості випадків достатньо діапазону в 50 портів.
Вирішення проблем
На жаль, безліч персональних файрволов і призначених для користувача роутерів мають свої недоробки або, в деяких випадках, навіть здатні саботувати роботу FTP (наприклад SMC Barricade v1.2).
В першу чергу, користуйтеся останніми стабільними версіями програмного забезпечення, в тому числі файрволу і прошивки роутера.
Якщо це не допомагає, у вас є можливість спробувати вилучити ваш файрвол для аналізу ситуації. Просте відключення файрвола не завжди допомагає, тому що деякі файрволи не можна повністю відключити.
Якщо це можливо, спробуйте підключитися до інтернету безпосередньо без роутера.
Якщо ви намагаєтеся налаштувати сервер і він працює нормально всередині вашої локальної мережі, але не доступний поза нею, спробуйте змінити порт для підключення. Деякі провайдери не дозволяють своїм клієнтам розміщувати сервера і блокують порти нижче 1024-го.
Причиною іншої можливої \u200b\u200bпроблеми може бути використання 21-го порту за замовчуванням для вашого FTP-сервера. На стороні вашого провайдера може бути присутнім файрвол, який може несподівано змінювати порт для команди PASV. Спробуйте використовувати порт відмінний від порту за замовчуванням для вашого FTP-сервера.
Якщо час від часу ви спостерігаєте повідомлення "неможливо відкрити підключення для передачі даних", тобто FTP-клієнт здатний без проблем підключитися до FTP-сервера достатню кількість разів, поки ви не отримаєте дане повідомлення, можливою перешкодою може бути антивірус на клієнтському ПК, налаштований на блокування вихідних підключень по певного діапазону портів. При роботі сервера в пасивному режимі вихідні порти клієнта визначаються випадковим чином, а при виборі портів потрапляють в заблокований діапазон, ви будете отримувати повідомлення про помилку. Для того, точної діагностики, вам слід переглянути логи антивірусу на машині клієнта, який отримує цю помилку. Загалом, будь-яке ПЗ, здатне блокувати діапазон вихідних портів, може бути причиною проблем подібного роду.
Таймаут при передачі великих файлів
Якщо передача невеликих файлів відбувається без проблем, але завантаження великих файлів обривається з таймаут, причиною цього є неправильно налаштований роутер і / або файрвол знаходиться між клієнтом і сервером.
Як було сказано вище, в FTP використовуються два TCP-підключення: контрольне підключення для відсилання команд і отримання відповідей на команди, і також підключення для передачі даних. За принципом роботи FTP контрольне з'єднання не використовується під час передачі файлів.
У специфікації TCP не вказується ліміт часу для збереження невикористаного підключення. Передбачається, що підключення зберігається на невизначений час щоб закрити явно. Тим не менше, більшість роутерів і файрволов автоматично закривають вільні підключення по закінченню деякого часу. Більш того, в більшості випадків призвести до втрати з'єднання відбувається без повідомлення про це його учасників. У разі тривалої передачі даних через FTP це означає, що контрольне з'єднання може бути розірвано, але, ні клієнт, ні сервер не будуть про це повідомлені. Таким чином, після того, як всі дані були передані, сервер все ще очікує, що контрольне підключення можна використовувати і відсилає через нього підтвердження передачі клієнту. Аналогічно, клієнт готовий використовувати контрольне з'єднання і чекає відповіді від сервера. Але, тому що контрольне з'єднання було розірвано, це відповідь ніколи не буде доставлений, що призводить до таймаут.
Для вирішення цієї проблеми специфікація TCP передбачає спосіб відправки пакетів для підтримки невикористаного підключення, які повідомляють учасників про те, що з'єднання потрібне зберегти для подальшого використання. Проте, в специфікації TCP явно вказується, що такі пакети можна передавати не частіше, ніж один раз кожні дві години. Для цього, передбачаючи затримки в мережі, термін життя невикористаного підключення встановлюється специфікацією о 2 годині і 4 хвилини.
Перешкодою цьому служить те, що багато роутери і файрволи розривають з'єднання, які не використовувалися менше ніж 2 і 4 хвилини. Така поведінка порушує специфікацію протоколу TCP, в RFC 5382 це зазначено досить ясно. Іншими словами, роутери та файрволи, що розривають з'єднання раніше потрібного моменту, не можна визнати робітниками, тому що вони не можуть використовуватися під час тривалого передавання даних через FTP. На жаль, виробники роутерів споживчого класу і постачальники файрволов не дбають про дотримання специфікацій.
Для вирішення цієї проблеми вам потрібно видалити такі файрволи та замінити неправильно працює роутер на якісний.
Налаштування сервера FileZilla під Windows Firewall
Якщо ви відчуваєте проблеми при налаштуванні сервера FileZilla при працюючому Windows Firewall (особливо, якщо клієнт, що підключається до такого сервера отримує повідомлення про помилку "Неможливо отримати лістинг директорії"), вам потрібно додати сервер FileZilla в список виключень Windows Firewall. Для цього вам потрібно зробити наступні кроки:
- Відкрийте Windows Firewall з Панелі Управління
- Якщо ви користуєтеся Vista, натисніть "Змінити налаштування"
- Виберіть вкладку "Винятки"
- Натисніть "Додати програму .."
- НЕ вибирайте "інтерфейс сервера FileZilla" зі списку, вам потрібно натиснути на "Перегляд ..."
- Знайдіть установчу директорію сервера FileZilla (зазвичай це "C: \\ Program Files \\ FileZilla Server \\")
- Виберіть "FileZilla server.exe" і натисніть відкрити (повторимо ще раз, НЕ Вибирайте "FileZilla Server Interface.exe")
- Виберіть "FileZilla server.exe" зі списку і натисніть "Ok"
- Переконайтеся в тому, що "FileZilla server.exe" знаходиться в списку виключень і відзначте відповідний пункт
- Натисніть "Ok" для закриття вікна
Це забезпечує роботу пасивного режиму. Якщо після цього ви все ж таки відчуваєте проблеми при підключенні (всередині або ззовні мережі), перевірте налаштування вашого роутера або спробуйте додати номер порту в налаштуваннях Windows Firewall у вкладці "Винятки".
Зверніться до 931130 KB-статті від Microsoft, яка описує роботу FileZilla зі включеними сервісами "Маршрутизація і віддалений доступ" або "Шлюз рівня додатки".
У цій статті ми розповімо про такі речі:
- як налаштувати FTP-сервер на комп'ютері, який підключений до роутера;
- як надати до нього доступ з всесвітньої мережі Інтернет.
Налаштування програми FTP сервера
Установка FileZilla Server
Скачайте і встановіть будь-який FTP-сервер, який вам подобається, або з яким ви звикли працювати. Ми для прикладу завантажити безкоштовну програму Filezilla Server з офіційного сайту: https://filezilla-project.org/download.php?type\u003dserver
Запустіть завантажений інсталяційний файл:
натисніть відхиляю:
натисніть відхиляю ще раз:
натисніть встановити:
натисніть I agree:
Next:
Install:
Налаштування FTP-сервера FileZilla
Запустіть інтерфейс програми.
Увійдіть в налаштування: меню Edit -\u003e Settings:
Тепер потрібно налаштувати пасивний режим FTP.
1) Виберіть розділ Passive mode settings;
2) Встановіть галку Use custom port range;
3) Задайте зручний для вас діапазон портів для використання в пасивному режимі;
4) У полі Use the following IPпропишіть ваш зовнішній IP;
5) Натисніть кнопку OK для збереження налаштувань.
Тепер необхідно налаштувати облікові записи користувачів і вказати домашні директорії.
Увійдіть в меню Edit і виберіть Users:
В розділі General натисніть Add:
Введіть ім'я користувача і натисніть OK:
1) Встановіть галку біля Password. Цим ви вкажете, що для даної облікового запису буде вимагатися пароль.
2) Задайте пароль для даної облікового запису;
3) Перейдіть в розділ Shared folders:
В розділі Shared folders натисніть Add:
і виберіть папку, яка буде відкрита даному користувачеві для доступу через протокол FTP. Після вибору загальної папки натисніть OK:
Задайте дозволу для даного користувача в папці.
В області файли ви можете дозволити або заборонити такі операції з файлами:
- читання;
- запис;
- видалення;
- Зміна.
В області папки ви можете дозволити або заборонити такі операції з папками:
- Створення;
- видалення;
- Перегляд списку;
- Перегляд вкладених папок.
Після того, як ви задасте дозволу для даного користувача в цій папці, натисніть OK для збереження налаштувань:
Налаштування комп'ютера
Після налаштування самої програми FTP-сервера, потрібно дозволити вхідні підключення в брандмауері.
заходимо в Панель управління і вибираємо Брандмауер Windows.
Натискаємо правою кнопкою миші по Правила для вхідних підключень і вибираємо створити правило:
вибираємо варіант для програми і натискаємо далі:
Виберіть пункт шлях програми і за допомогою кнопки огляд вкажіть шлях до файлу FileZilla Server.exe.
Потім, натисніть далі:
Виберіть варіант дозволити підключення і натисніть далі:
Дайте довільне ім'я правилу та натисніть Готово:
Налаштування роутера: створення правил проброса портів
Тепер нам необхідно створити кидок портів на шлюзі. Шлюзом може бути роутер, модем або інший пристрій. Увійдіть на веб-інтерфейс роутера (читайте статтю про те, що таке веб-інтерфейс і як на нього зайти:) і відкрийте розділ перенаправлення портів. Детальніше про перенаправлення портів читайте в нашій статті: Що таке кидок порту.
Створіть два правила.
Правило №1: кидок зовнішнього порту 21 на порт 21 комп'ютера, де встановлена \u200b\u200bпрограма FTP-сервер.
Правило №2: кидок діапазону портів на такий же діапазон портів на комп'ютері зі встановленою програмою FTP-сервер.
Зберегти настройки.
Як віддалено підключитися до FTP-сервера
Для доступу до FTP-сервера ви можете використовувати або FTP-клієнт, або браузер, або навіть провідник. Звичайно ж, краще використовувати FTP-клієнт. Ми рекомендуємо безкоштовну програму FileZilla client. Завантажити його ви зможете на офіційному сайті: https://filezilla-project.org/download.php?type\u003dclient
В полі хоствведіть або), або зовнішній IP-адреса роутера. Потім, введіть ім'я користувача, створене вами в програмі FileZilla Server на комп'ютері, відповідний йому пароль і натисніть кнопку швидке з'єднання:
Якщо в кидок портів в настройках роутера ви не змінювали порт №21 на нестандартний, то поле порт можна залишити порожнім - програма за замовчуванням підключиться на 21-ий порт.
