Wikikönyvek

„FileZilla/Hálózati beállítások” változatai közötti eltérés

Laptörténet interaktív böngészése
← Régebbi szerkesztésÚjabb szerkesztés →
Tartalom törölve Tartalom hozzáadva
VizuálisWikiszöveges
Sterbi (vitalap | szerkesztései)
179 szerkesztés
Sterbi (vitalap | szerkesztései)
179 szerkesztés
aNincs szerkesztési összefoglaló
1. sor:
== Hálózati beállítások ==
 
Ez a rész egy rövid áttekintést nyújt az FTP protokoll történelmi és technikai hátteréről. Részletes, mélyre menő információkat a [http[w://hu.wikipedia.org/wiki/FTP |specifikációjában]] találunk.
 
=== Történelmi háttér ===
 
A gyorsan fejlődő interneten az FTP [http[w://hu.wikipedia.org/wiki/Protokoll_(informatika) |protokoll]] nemhogy öregnek számít, hanem egyenesen ősréginek. Az FTP protokoll alapjai egészen az 1971-es évbe nyúlnak vissza, a most használt specifikációt 1985-ben írták le. Az utóbbi két évtizedben az FTP protokoll lényegében nem változott. Így ez a protokoll valószínűleg idősebb az olvasónál.
 
A kezdetben az internetet főleg az egyetemek és kutató központok használták. Kicsi volt a közösség, a legtöbb felhasználó ismerte egymást és együttműködtek. Akkor még az internet barátságos hely volt, a biztonság nem nagyon volt kérdéses. Az emberek nem is tudtak erről a témáról, vagy közömbös volt számukra.
 
Azóta sok minden megváltozott. A technológia olyan gyorsan fejlődik, ahogy azt el sem tudták képzelni akkor. Egy új fajta felhasználói csoport született és fejlődik azóta is. Az internet már mindenhol ott van és felhasználók milliói kommunikálnak egymással rengeteg féle képpen.
Még egy dolog megváltozott: az internet teli van rosszindulatú dolgokkal. Felhasználhatósága és nyitottsága is vonzotta a rosszindulatú felhasználókat, akik rendszeresen kihasználják a tervezési hiányosságokat, [http://hu.wikipedia.org/[w/index.php?title=:Bug_(informatika)&action=edit&redlink=1 |bug]]-okat és más felhasználók tapasztalatlanságát. Egy jól ismert szoftvercég Redmondban, Washington államban természetesen részt vett az internet fejlesztésében.
 
Néhány mellékterméke ennek a fejlesztésnek a következő lett:
* [http[w://hu.wikipedia.org/wiki/Network_Address_Translation |NAT]] útválasztó (= [http[w://hu.wikipedia.org/wiki/Router |router]]). Az internet nagyrészt az [http[w://hu.wikipedia.org/wiki/IP-c%C3%ADm |IPv4]] protokollt használja, aminek nagyon limitált a cím terjedelme. A NAT útválasztóknak köszönhetően azonban az összetett rendszerek könnyen megoszthatják az azonos külső [http[w://hu.wikipedia.org/wiki/Internetprotokoll |IP]] címeket.
* Személyi tűzfal (= [http[w://hu.wikipedia.org/wiki/T%C5%B1zfal_(sz%C3%A1m%C3%ADt%C3%A1stechnika) |firewall]]), ami arra lett tervezve, hogy megvédje a felhasználót azoktól a támadásoktól, amelyek az [http[w://hu.wikipedia.org/wiki/Oper%C3%A1ci%C3%B3s_rendszer |operációs rendszer]] és az azon futó alkalmazások biztonsági réseit próbálják kihasználni.
 
Ezek a termékek több helyen ütköznek az FTP protokollal, mint ahányon nem. Hogy tovább fokozzuk, ezek közül néhányon szintén találhatóak biztonsági rések, ami további problémákat vet fel az FTP-vel kapcsolatban.
22. sor:
=== Technikai háttér ===
 
De mi különbözteti meg az FTP-t a legtöbb más protokolltól, melyek csak másodlagosak a fájl átvilben? Ha egy FTP szervezhez csatlakozunk, kiépül egy tulajdonképpeni ''kontroll-kapcsolat'', amin az FTP parancsok és azok válaszai fognak átmenni. Azért, hogy egy fájl, vagy könyvtár lista átmenjen, a [http[w://hu.wikipedia.org/wiki/Kliens |kliens]] (= ügyfél) küld néhány parancsot a kontroll-kapcsolaton keresztül, hogy létrehozza az ''adat-kapcsolatot''.
 
Ez az adat-kapcsolat két különböző módon épülhet ki, amelyeket aktív és passzív módnak hívunk.
 
Passzív módban, ami ajánlottabb, a kliens elküldi a PASV parancsot a [http[w://hu.wikipedia.org/wiki/Szerver |szervernek]] (= kiszolgálónak), amire az egy címmel válaszol. A kliens kiad egy parancsot egy fájl átvitelére, vagy egy könyvtár kilistázására és kiépít egy másodlagos kapcsolatot a címmel, amit a szerver küldött.
 
Aktív módban, a kliens nyit egy [http://wiki.hup.hu/index.php/Port portot] a helyi gépen és megadja annak a címét a PORT paranccsal a szervernek. Amint a kliens kiad egy parancsot fájl átvitelre, vagy listázásra, a szerver kapcsolódni fog a kliens által megadott címhez.
48. sor:
==== NAT útválasztók ====
 
A legtöbb széles sávú felhasználó számítógépe és a nyílt internet között van egy NAT (Network Adress Translation = Hálózati Cím Fordítás) útválasztó. Ez a NAT útválasztó lehet egy egyedül álló útválasztó eszköz (lehet akár egy vezeték nélküli is), vagy egy [http[w://hu.wikipedia.org/wiki/DSL |DSL]], vagy kábel [http[w://hu.wikipedia.org/wiki/Modem |modemmel]] egybeépített. Egy NAT környezetben minden eszköz a NAT útválasztó után lévő [http[w://hu.wikipedia.org/wiki/LAN |LAN]] (''Local Area Network = Helyi Hálózat'') hálózatban van, ahol minden rendszer eszköznek van egy helyi IP címe (onnan lehet felismerni, hogy négy kis számból áll, amelyeket pont választ el egymástól). Magának a NAT útválasztónak is van egy helyi IP címe és ezen felül van egy külső IP címe is, ami az interneten azonosítja. A belső IP címek csak a helyi hálózaton érvényesek, de egy távoli rendszer számára azok már nem értelmezhetőek.
 
Egy példa:
64. sor:
=== Tűzfalak ===
 
A ''személyi tűzfal''ak szándéka, hogy megvédjék a felhasználót azoktól a támadásoktól, amelyek az operációs rendszer és az azon futó alkalmazások biztonsági réseit próbálják kihasználni. Az interneten keresztül ezek lehetnek például az úgy nevezett férgek, amik megpróbálják kihasználni ezeket a réseket, hogy megfertőzhessék a számítógépet. A tűzfalak az ilyen és hasonló kártékony [http[w://hu.wikipedia.org/wiki/Szoftver |szoftverektől]] tudják megvédeni a számítógépet.
 
Különösen FTP használatakor a felhasználók az alábbi üzenethez hasonlót láthatnak a tűzfal felugró kis ablakában:
Trojan Netbus blocked on port 12345 used by FileZilla.exe = [http[w://hu.wikipedia.org/wiki/Tr%C3%B3jai_program |Trójai]] blokkolva a 12345-ös porton, amit a FileZilla.exe használ
 
Ez majdnem minden esetben '''hamis riasztás'''. Bármely [http[w://hu.wikipedia.org/wiki/Program |program]] bármelyik portot választhatja, hogy kommunikációt indítson az interneten keresztül. Ez a hibaüzenet akkor is felugorhat, ha a FileZilla olyan portot választ, ami egyébként egy trójai vagy más kártevő által használt alapértelmezett port. Amennyiben a FileZillát a hivatalos weboldaláról töltjük le, az minden kártékony féregtől mentes.
 
=== Vétkes útválasztók, tűzfalak és adat szabotázs ===
95. sor:
** Az útválasztó protokoll érzékelése megakadályozza, hogy felismerjen egy FTP kapcsolatot (ezt úgy nevezik, hogy ''hamis negatív''). Tegyük fel, hogy egy útválasztó csak a cél portot figyeli és ha az a 21-es, akkor azt FTP-nek érzékeli. Mint olyan, az aktív módú, klienstől a szerver felé helytelenül beállított kapcsolatok a 21 porton futva működnek, de másik szerverrel való kapcsolódás nem fog létrejönni, ha a szerver nem a szabványos portot használja
* Nyilvánvalóan egy NAT útválasztó nem tud beleváltoztatni egy FTP kapcsolatba, ha az titkosítást használ, ismét tanácstalanul hagyva a felhasználót, miért működik normál FTP-nél és miért nem a titkosítottnál.
* Tegyük fel, hogy van egy kliens egy NAT útválasztó mögött, ami küld egy "PORT 10,0,0,1,12,34" parancsot. Honnan tudja a NAT útválasztó, hogy a kliens helytelenül beállított? Az is lehet, hogy helyesen van beállítva, még csupán kezdeményezni akar egy FXP (direkt-transzfermódusz, ami során egyik FTP oldalról egy másikra küldjük az adatot úgy, hogy nem használjuk ki a teljes [http[w://hu.wikipedia.org/wiki/S%C3%A1vsz%C3%A9less%C3%A9g |sávszélességet]]) átvitelt a szerver, amihez kapcsolódik és egy másik számítógép között, ami szintén egy helyi hálózaton van a szerverrel.
 
Amint láthatjuk, nem jó dolog alapértelmezésben protokoll specifikus jellemzőket engedélyezni egy NAT útválasztónak. Egy jó NAT útválasztó mindig teljesen protokoll függetlenül dolgozik. Kivétel, ha felhasználóként szándékosan engedélyezzük ezt a tulajdonságot, ismerve az összes vele járó következményt.
105. sor:
Abban az esetben, ha a FileZilla 3-as verzióját futtatjuk, ajánlott a hálózat beállítás varázslót futtatni. Végig vezet minket a szükséges lépéseken és a végén leteszteli a beállításokat.
 
Nyilvánvalóan ha valamilyen szerverhez szeretnénk kapcsolódni, akkor meg kell mondani a tűzfalunknak, hogy hagyja kapcsolódni a FileZillát más szerverekhez. A legtöbb FTP szerver normál esetben a 21-es portot használja, de az [http[w://hu.wikipedia.org/wiki/SFTP |SFTP]] szerverek a 22-es portot, míg az [http[w://hu.wikipedia.org/wiki/SSL |SSL/TLS]]-en (implicit módú) futó FTP a 990-es portot használja alapértelmezettként. Mivel nem kötelező ezen portok használata, így a legjobb, ha engedjük a kimenő kapcsolatokat a távoli gép bármely portjához csatlakozni.
 
Mióta sok olyan szerver van az interneten, ami nincs jól beállítva és nem támogatja mindkét átviteli módot, ajánlott hogy mi állítsuk be mindkettőt a saját gépünkön.
126. sor:
Ha nem akarjuk engedélyezni a bejövő kapcsolatokat az összes porton, vagy NAT útválasztó mögött vagyunk, akkor a FileZillának meg kell adni egy tartományt, hogy mely portokat tudja használni aktív módban. Így csak ezeket a portokat kell megnyitni a tűzfalban. Ha van NAT útválasztónk, továbbíttatni kell ezeket a portokat arra a helyi számítógépre, amire a FileZilla van feltelepítve. Az útválasztó típusától függően vagy a port tartományt kell beállítani, vagy egyesével minden szükséges portot.
 
Az érvényes portok száma 1-től 65535-ig terjed, azonban az 1024 alatti portok a protokolloknak vannak fenntartva. Az aktív módú FTP használatához a legjobb választás az 50000-es, vagy annál nagyobb port. A [http[w://hu.wikipedia.org/wiki/TCP |TCP]] természete miatt egy portot nem lehet azonnal újrahasználni minden kapcsolat után. Ezért a port tartomány ne legyen túl kicsi, mert sok kis fájl átvitelekor a kapcsolat megszakadhat. Legtöbb esetben az 50 port szélességű tartomány elég szokott lenni.
 
<div align="center">
173. sor:
Sajnos sok személyi tűzfalon és kommersz útválasztón is van biztonsági rés, vagy könnyen szabotálható FTP.
 
Először is mindennek naprakésznek kell lennie, beleértve a tűzfal programot és az útválasztó [http[w://hu.wikipedia.org/wiki/Firmware |firmware]] verzióját is.
 
Ha ez nem segít, ajánlatos '''uninstallálni''' a tűzfalat és megnézni, hogy úgy mi történik. Ha egyszerűen csak kikapcsoljuk a tűzfalat, az nem biztos hogy elég a kipróbáláshoz, mert néhány tűzfalat nem lehet teljesen kikapcsolni.
183. sor:
Még egy probléma, ami előjöhet, ha szervert üzemeltetünk az alapértelmezett 21-es porton keresztül. Lehet, hogy a szolgáltatónak van egy tűzfala felénk, ami furcsa dolgokat tud művelni.Olyanokat például, hogy megváltoztatja a PASV parancs portját. Ilyenkor meg kell próbálni egy nem szabványos portot használni az FTP-hez.
 
Ha a következő ütközés van véletlenszerűen: "nem lehet megnyitni az adat-kapcsolatot". Például a kliens több alkalommal is tud csatlakozni a szerverhez probléma nélkül, aztán egyszer csak jön ez a hibaüzenet, akkor arra az az egy lehetséges válasz lehet, hogy a kliens [http[w://hu.wikipedia.org/wiki/Szem%C3%A9lyi_sz%C3%A1m%C3%ADt%C3%B3g%C3%A9p |PC]] [http[w://hu.wikipedia.org/wiki/V%C3%ADrusirt%C3%B3 |vírusirtója]] úgy van beállítva, hogy blokkolja a kimenő kapcsolatokat néhány port tartományban. Ha az FTP kapcsolat passzív módban fut, a kliens oldal kimenő portjai véletlenszerűen vannak kiválasztva, akkor ha beleesik valamelyik tiltott port sávba, olyankor jön elő ez a probléma. Hogy megvizsgáljuk, valóban ez a hiba, meg kell nézni a vírusirtó log fájlját az adott kliens gépen. Általában bármely program, pl. PC tűzfal stb. ami tudja blokkolni a portokat, okozhat ilyen hibajelenséget.
 
== A FileZilla Szerver kiengedése a Windows tűzfalon ==
 
Ha problémánk van a FileZilla Szerver beállításakor a [http[w://hu.wikipedia.org/wiki/Windows |Windows]] tűzfallal (kimondottan ha listázási probléma lép fel és a kliens "Failed to receive directory listing" = "Könyvtár lista lekérdezési hiba" hibaüzenetet kap), akkor meg kell adni neki a FileZilla Szervert kivételnek. Ezt a következő képpen tehetjük meg:
 
# Nyissuk meg a Windows Tűzfalat a Vezérlőpultban
202. sor:
Így passzív módban működnie kell. Ha még mindíg vannak gondok a kapcsolódással (egy másik számítógépről, vagy a helyi hálózaton kívülről), akkor nézzük meg az útválasztónk beállításait.
 
Nézzük át még a [http[w://hu.wikipedia.org/wiki/Microsoft |Microsoft]] kb931130 cikkét, a FileZilla futtatásáról, "Routing and Remote Access" = "Útválasztás és távoli hozzáférés", vagy a "Application Layer Gateway" = "Alkalmazási Réteg Átjáró" szolgáltatás engedélyezéséről.
http://support.microsoft.com/kb/931130
----
A lap eredeti címe: „https://hu.wikibooks.org/wiki/FileZilla/Hálózati_beállítások