Usługi z linii Cloud VPS wyposażone są standardowo w aplikację firewall, której konfiguracja umożliwia blokowanie ruchu na wszystkich portach, które nie są objęte odpowiednią regułą (DROP POLICY). Stwarza to pewne niedogodności w momencie kiedy próbujemy nawiązać połączenie z serwerem przy użyciu protokołu FTP, który to wymaga możliwości komunikowania się na 3 sposoby:

• poprzez port 21 dla wysłania informacji o logowaniu (login i hasło);
• poprzez port 20 dla transferu danych;
• poprzez losowy port z puli od 1024 wzwyż dla pobierania listy katalogów;

Nic nie stoi na przeszkodzie, aby utworzyć reguły dla dwóch pierwszych przypadków, jednak zapora firewall nie pozwala na tworzenie reguł, w których określany będzie zakres portów, a jedynie poszczególnych, wskazanych przez użytkownika. W takiej sytuacji posiłkować można się dwoma rozwiązaniami:

• 1 rozwiązanie – wyłączenie filtrowania ruchu przez firewall i korzystanie z własnego rozwiązania np. iptables;
• 2 rozwiązanie (zalecane) – ograniczenie zakresu portów, które mogą być losowane przy pobieraniu directory listing;

Jako, że pierwsze rozwiązanie nie wymaga objaśnień, poniżej znajdziesz instrukcje realizacji zaproponowanego zalecanego rozwiązania numer 2.

Jak ograniczyć zakres portów, które mogą być losowane przy pobieraniu directory listing?

1. Logujemy się do odpowiedniego kontenera poprzez konsolę lub SSH;
   • Kliknij tutaj, aby sprawdzić jak się zalogować przez SSH.
2. Poszukujemy pliku konfiguracyjnego aplikacji serwera FTP – najczęściej jest to lokalizacja /etc/proftpd.d/passive_ports.conf (jeśli plik nie istnieje, należy go utworzyć);
3. Tworzymy w pliku dyrektywę: PassivePorts port_początkowy port_końcowy (przykład: PassivePorts 45001 45009)
4. Zapisujemy zmiany w pliku.
5. W Panelu klienta w ustawieniach firewall tworzymy zestaw reguł dopuszczających ruch w protokole TCP dla całego zakresu portów jaki zadeklarowaliśmy (czyli dla przykładu powyżej będzie to 9 reguł kolejno od portu lokalnego 45001 do 45009)