Toon posts:

[2008R2 FTP] Hoe riskant is het om svchost door te laten?

Pagina: 1
Acties:

Onderwerpen

Ftp

vrijdag 1 juli 2011 10:14

Acties:
  • 0 Henk 'm!
  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 15-08 20:27

ElCondor

Geluk is Onmisbaar

Topicstarter
Ik ben bezig om Windows FTP server in IIS op te zetten, (ivm licenties etc. heb ik niet de mogelijkheid om een ander product te gebruiken) en ik liep vast op het gebruik van passive FTP.
Nu lees ik hier en daar op het internet dat het blokkeren van passive FTP door de Windows firewall te voorkomen is door svchost op any poort door te laten inbound door de firewall.

Zie bijvoorbeeld deze pagina:
http://www.bunkerhollow.c...p-and-firewall-setup.aspx

En zowaar, regel aangemaakt en het werkt, mapjes kan ik netjes doorbladeren, uploaden etc.

Echter, svchost, draait veel meer dan alleen FTP. Wat zijn de kansen dat iemand een andere service kan aanspreken via de firewall regel die ik aangemaakt heb?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

vrijdag 1 juli 2011 10:17

Acties:
  • 0 Henk 'm!
  • Craven
  • Registratie: Februari 2007
  • Laatst online: 10:51

Craven

Voor de licenties hoef je het niet te laten, filezilla server is gewoon gratis en naar mijn ervaring een stuk stabieler en beter te configureren.

Kan je in IIS niet gewoon de passive ftp poorten zelf definieren? kun je ze zelf in de firewall invoeren.

edit: vage shit,
* Craven doet testen gaan.

[ Voor 10% gewijzigd door Craven op 01-07-2011 10:29 ]

vrijdag 1 juli 2011 10:27

Acties:
  • 0 Henk 'm!
  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 15-08 20:27

ElCondor

Geluk is Onmisbaar

Topicstarter
Hmmja, dat kan, maar dan nog werkt het niet. Deze poorten heb ik inderdaad met een eigen firewall regel aangemaakt, maar zodra ik de regel met svchost en any port verwijder of aanpas naar een specifieke range van ports valt de verbinding stil.

Ik zal nog eens kijken wat ik verder kan configureren, maar ik hoor wel graag nog verdere meningen hierover.
Ik zoek ook niet direct een oplossing voor een probleem, maar meer jullie gedachtes over de geboden oplossing, waar klaarblijkelijk iederen (of velen iig) lyrisch over zijn, maar waarvan ik denk, is dat niet riskant?

[ Voor 4% gewijzigd door ElCondor op 01-07-2011 10:33 ]

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

vrijdag 1 juli 2011 11:52

Acties:
  • 0 Henk 'm!
  • Craven
  • Registratie: Februari 2007
  • Laatst online: 10:51

Craven

Krijg het niet voor elkaar. Hij blijft hangen op de dir listing, de passive poorten dus. En ik weiger svchost open te gooien in m'n firewall.

Mijn advies voor het probleem. Gebruik een andere ftp server if possible. Ik weet niet of je integratie met AD e.d. wilt? Als het gaat om wat simpele users dan zou ik het niet doen. En lekker filezilla gebruiken o.i.d. Dan kun je de service netjes onder een service account draaien en daar ook ntfs rechten op toekennen. En voor die service + .exe kun je ook exclusions in je firewall gaan maken.

Wat betreft mijn mening. Ik ben nooit een fan geweest van de ingebouwde MS ftp server. Heeft altijd een hoop gezeur opgeleverd. Terwijl filezilla binnen een paar minuten helemaal netjes (en veilig) is opgezet. svchost.exe zou ik uberhaupt nooit openzetten naar internet. Zegt MS hier zelf helemaal niks over?

dinsdag 5 juli 2011 18:38

Acties:
  • 0 Henk 'm!
  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 15-08 20:27

ElCondor

Geluk is Onmisbaar

Topicstarter
Nee, dat is het vreemde aan het hele verhaal. Er wordt met geen woord over gerept door MS zelf. Wel op verschillende blogs wordt er geklaagd over het feit dat out-of-the-box FTP van MS het niet goed doet op passive en dat het aan de firewall zou liggen.
Dat lijkt te kloppen, want als ik de FW aan de internet verbinding helemaal uit zet, dan doet hij het wel.
Als ik de regel met svchost niet toesta maar FTP en SFTP en de regel die ervoor zou moeten zorgen dat passive FTP moet werken activeer, dan doet hij het niet.
Laat ik dan toch SVCHost door, dan werkt het dus wel.

Let wel, verkeer van SVCHost hoeft alleen maar naar buiten te kunnen, niet weer terug naar binnen, vreemd genoeg...
Je zou toch denken dat MS een beetje een goede FTP server in elkaar moet kunnen zetten. :S

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

dinsdag 5 juli 2011 18:55

Acties:
  • 0 Henk 'm!
  • Turdie
  • Registratie: Maart 2006
  • Laatst online: 20-08-2024

Turdie

Dit al gezien:
How to Configure Windows Firewall for a Passive Mode FTP Server

En:
Configure the Data Channel Port Range

When you use a firewall in your network you can limit the range of dynamic ports (also known as ephemeral ports) that can be used for passive connections in FTP. When a client issues a PASV command, the FTP server responds with a dynamic port to be used as the server-side port of the data connection. The default port range is configured in Windows TCP/IP settings.

The dynamic port range in earlier versions of Windows was 1025-5000. This was changed in Windows Vista® and Windows Server® 2008 to comply with Internet Assigned Numbers Authority (IANA) recommendations about using ports. If you deploy Windows Vista or Windows Server 2008 in your network, and you use firewalls to restrict traffic on your internal network, you must update those firewalls with the new port range. For more information, see "The default dynamic port range for TCP/IP has changed in Windows Vista and in Windows Server 2008" on the Microsoft Help and Support site.

Configure the FTP Server to Recognize the External Firewall IP Address

[ Voor 79% gewijzigd door Turdie op 05-07-2011 19:00 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq