Cómo habilitar el modo pasivo de FTP

Cómo habilitar el modo pasivo de FTP


Última modificación: 22 de septiembre de 2021

Visión general

Este documento explica cómo utilizar el modo activo o pasivo para conectarse a un servidor de Protocolo de transferencia de archivos (FTP).

Importante:

En cPanel & WHM versión 60 y posteriores, el sistema habilita puertos pasivos 49152 mediante 65534 para servidores Pure-FTPd y servidores ProFTPD de forma predeterminada. Si utiliza el complemento de firewall ConfigServer Security & Firewall (CSF), el sistema además agrega rangos de puertos pasivos al firewall de su servidor de forma predeterminada.

Si usa el nftables, firewalld, o iptables aplicaciones para su firewall, usted debe habilitar la configuración del firewall para los puertos pasivos manualmente. Para obtener más información sobre firewalls, lea nuestro Cómo configurar su firewall para los servicios cPanel y WHM documentación.

Sesiones de modo activo y pasivo

FTP utiliza un puerto de datos y un puerto de comando para transferir información entre un cliente y un servidor. Durante una sesión típica de modo activo, el puerto de comando usa el puerto 21 y el puerto de datos usa el puerto 20. Sin embargo, cuando usa una sesión en modo pasivo, el puerto de datos no siempre usa el puerto 20.

Activo

En modo activo, el servidor FTP responde al intento de conexión y devuelve una solicitud de conexión desde un puerto diferente al cliente FTP. Traducción de direcciones de red (NAT) Las configuraciones bloquean esta solicitud de conexión.

FTP activo

FTP activo

FTP activo (con firewall)

FTP activo (con firewall)

El firewall bloquea el intento del servidor de comunicarse con el cliente porque el servidor usa un puerto diferente al de la primera conexión.

Pasivo

En modo pasivo, el cliente FTP inicia ambos intentos de conexión. Configuraciones NAT no bloquear esta solicitud de conexión.

FTP pasivo (con firewall)

FTP pasivo (con firewall)

El cortafuegos lo hace no bloquear el intento del servidor de comunicarse con el cliente porque el cliente inició la comunicación en ambas ocasiones.

Nota:

Si existen usuarios de FTP en el lado de la red privada de una configuración de NAT, debe habilite el modo pasivo de FTP y abra el rango de puertos pasivos en el archivo de configuración de su servidor FTP. Es posible que también deba abrir el rango de puertos pasivos en su firewall.

Configurar servidores FTP

Las secciones siguientes explican cómo editar las configuraciones predeterminadas para un FTPd puro servidor y un ProFTPD servidor.

Nota:

  • Un archivo local contiene la configuración deseada que Sobrescribir cualquier configuración predeterminada del archivo principal.
  • El sistema habilita puertos pasivos 49152 mediante 65534 para servidores Pure-FTPd y servidores ProFTPD de forma predeterminada.

Servidores FTPd puros

Para editar la configuración de FTP para un servidor PureFTP, realice los siguientes pasos:

  1. Inicie sesión en el servidor como root usuario a través de SSH.
  2. Abre el /var/cpanel/conf/pureftpd/local archivo, si ya existe, con un editor de texto. Si aún no existe, cree el /var/cpanel/conf/pureftpd/local expediente.
  3. Agregue los cambios deseados al archivo. Si su servidor FTP existe detrás de una configuración NAT, establezca el ForcePassiveIP opción a la dirección IP pública del servidor FTP, como en el siguiente ejemplo:
    ForcePassiveIP: 203.0.113.0

    Si su servidor no existe en una configuración NAT, establezca el ForcePassiveIP opción a la siguiente entrada:

    Importante:

    Sólo uno ForcePassiveIP La entrada puede existir en un archivo de configuración.

  4. Si desea cambiar el rango de puertos pasivos predeterminado de su servidor, ejecute los siguientes comandos:
    1
    2
    
    echo "PassivePortRange: 49152 65534" >> /var/cpanel/conf/pureftpd/local
    /usr/local/cpanel/scripts/setupftpserver pure-ftpd --force 
  5. Configure su servidor para permitir que el rango de puertos pasivos pase a través del firewall. Para hacer esto, siga las instrucciones en el Configurar el cortafuegos sección siguiente.
  6. Reinicie el servicio PureFTP con el siguiente comando:
    /usr/local/cpanel/scripts/setupftpserver pure-ftpd --force

Servidores ProFTPD

Para editar la configuración de FTP para un servidor ProFTPD, realice los siguientes pasos:

  1. Inicie sesión en el servidor como root usuario a través de SSH.
  2. Abre el /var/cpanel/conf/proftpd/local archivo, si ya existe, con un editor de texto. Si aún no existe, cree el /var/cpanel/conf/proftpd/local expediente.
  3. Agregue los cambios deseados al archivo. Si su servidor FTP existe detrás de una configuración NAT, establezca el MasqueradeAddress opción a la dirección IP pública del servidor FTP, como en el siguiente ejemplo:
    MasqueradeAddress: 203.0.113.0

    Si su servidor no existen en una configuración NAT, establezca el MasqueradeAddress opción a la siguiente entrada:

    Importante:

    Solamente uno MasqueradeAddress La entrada puede existir en un archivo de configuración.

  4. Si desea cambiar el rango de puertos pasivos predeterminado de su servidor, ejecute los siguientes comandos:
    1
    2
    
    echo "PassivePorts: 49152 65534" >> /var/cpanel/conf/proftpd/local
    /usr/local/cpanel/scripts/setupftpserver proftpd --force 
  5. Configure su servidor para permitir que el rango de puertos pasivos pase a través del firewall. Para hacer esto, siga las instrucciones en el Configurar el cortafuegos sección siguiente.
  6. Reinicie el servicio ProFTP con el siguiente comando:
    /usr/local/cpanel/scripts/setupftpserver proftpd --force

Configurar el cortafuegos

Nota:

El sistema habilita puertos pasivos 49152 mediante 65534 para servidores Pure-FTPd y servidores ProFTPD de forma predeterminada.

Es posible que deba agregar el rango de puertos pasivos de su servidor FTP al firewall manualmente.

Seguridad y cortafuegos de ConfigServer

Si usa el complemento CSF ​​para administrar el firewall de su servidor, abra el /etc/csf/csf.conf archivo y confirme que el rango de puertos pasivos existe al final de la TCP_IN línea. El sistema agrega el rango de puertos pasivos de su servidor FTP al firewall de forma predeterminada. Para obtener más información sobre cómo instalar y utilizar CSF, visite el sitio web de CSF.

Advertencia:

CSF hace no funcionar con el firewalld utilidad. Si instala CSF, debe eliminar el firewalld utilidad. Para hacer esto, ejecute el yum remove firewalld mando.

nftables

Si usa el nftables framework para su servidor CentOS 8, AlmaLinux OS 8 o CloudLinux 8, ejecute los siguientes comandos para agregar el rango de puertos pasivos al firewall de su servidor:

1
2
nft add rule filter INPUT tcp dport 49152-65534 accept
nft -s list ruleset | tee /etc/sysconfig/nftables.conf # to save the ruleset post reboot

Encontraras el nftables conjunto de reglas para su servidor en el /etc/sysconfig/nftables.conf expediente.

Advertencia:

cPanel & WHM versión 92 para CentOS 8 y CloudLinux 8 es experimental software y lo hacemos no Recomendamos su uso en entornos de producción. Para obtener más información, lea nuestro cPanel y WHM versión 92 para CentOS 8 documentación.

Actualice a una versión posterior de cPanel & WHM para usar CentOS 8 y CloudLinux 8 en entornos de producción.

Firewalld

Si usa el firewalld aplicación para su servidor CentOS 7, CloudLinux ™ 7 o Red Hat® Enterprise Linux (RHEL) 7, ejecute los siguientes comandos para agregar el rango de puertos pasivos al firewall de su servidor:

1
2
3
firewall-cmd --permanent --zone=public --add-service=ftp
firewall-cmd --permanent --add-port=49152-65534/tcp
firewall-cmd --reload

iptables

Importante:

Red Hat Enterprise Linux 8 desaprobó el iptables utilidad. Si bien cPanel, LLC no admite esta versión de RHEL, este cambio afecta a todos Sistemas operativos compatibles con cPanel. Recomendamos el nftables utilidad para servidores que ejecutan los sistemas operativos CentOS 8, AlmaLinux OS 8 o CloudLinux 8. Para servidores que ejecutan los sistemas operativos CentOS 7, CloudLinux 7 o RHEL 7, le recomendamos que utilice el firewalld utilidad.

Advertencia:

cPanel & WHM versión 92 para CentOS 8 y CloudLinux 8 es experimental software y lo hacemos no Recomendamos su uso en entornos de producción. Para obtener más información, lea nuestro cPanel y WHM versión 92 para CentOS 8 documentación.

Actualice a una versión posterior de cPanel & WHM para usar CentOS 8 y CloudLinux 8 en entornos de producción.

Para obtener más información, lea Red Hat Cuándo usar firewalld, nftables o iptables documentación.

Si usa el iptables aplicación para el firewall de su servidor FTP, realice los siguientes pasos para agregar el rango de puertos pasivos al firewall de su servidor:

  1. Instala el iptables-services paquete si aún no existe en su servidor. Este paquete proporciona iptables y ip6tables servicios, que no están incluidos en el iptables solicitud. Para instalar este paquete, ejecute el siguiente comando:
    yum install iptables-services
  2. Ejecute los siguientes comandos para agregar las reglas al firewall y guardar la configuración:
    1
    2
    
    iptables -I INPUT -p tcp --dport 49152:65534 -j ACCEPT
    service iptables save

SolusVM y Xen

Si utiliza SolusVM y Xen® en un servidor CloudLinux ™, puede experimentar problemas con FTP pasivo. Estos problemas pueden parecerse a un firewall u otro problema de conexión, incluso cuando no existe un firewall.

Para resolver estos problemas, realice los siguientes pasos:

  1. Reemplace la IPTABLES_MODULES= ip_conntrack_netbios_ns línea en el /etc/sysconfig/iptables-config archivo en el nodo VPS con la siguiente línea:
    IPTABLES_MODULES=ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp ipt_owner ipt_REDIRECT
  2. Ejecutar el service iptables restart comando para reiniciar el iptables Servicio.

Solucionar problemas del modo pasivo de FTP

Si su servidor configurado por NAT no puede ejecutar conexiones FTP pasivas a otras direcciones IP en el servidor, realice una de las siguientes acciones:

  • En cPanel & WHM versión 66 y posteriores, configure el ForcePassiveIP opción con tilde~) personaje. El sistema interpreta este carácter como una directiva indefinida y evita cambios automáticos en la /etc/pure-ftpd.conf o /etc/proftpd.conf archivos.
  • En cPanel & WHM versión 64 y anteriores, siga las instrucciones de nuestra Solución temporal de configuración de FTP y NAT pasivo documentación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *