Ik heb een VPS die direct aan het internet hangt. Op die VPS draai ik IPtables in combinatie met fail2ban. Voor ProFTP heb ik poort 21 geopend en een passive range van TCP poort 10000:20000. Nu heb ik gezien als je een FTP sessie start dat eerste communicatie via poort 21 gaat en vervolgens kiest proftpd een poort uit de passive range waarop de data overdracht plaats vindt.

Nu zit er bij een van mijn opdrachtgever een Firewall tussen die uitgaand verkeer filtert. (dus aan de klant kant) Nu kun je een snelle oplossing implementeren door poort 10000:20000 open te zetten bij de klant maar dat is geen mooie oplossing. Nu had ik ook gezien dat je proftpd ook als active server kan configureren in dat geval communiceert de klant via poort 20 met jouw server, en dan ben je dus van het probleem af.

Ik heb even gekeken in de config van proftpd maar daar kan ik weinig informatie uit halen. Poort 20 heb ik geopend aan mijn server kant. Iemand tips?

Ik heb een VPS die direct aan het internet hangt. Op die VPS draai ik IPtables in combinatie met fail2ban. Voor ProFTP heb ik poort 21 geopend en een passive range van TCP poort 10000:20000. Nu heb ik gezien als je een FTP sessie start dat eerste communicatie via poort 21 gaat en vervolgens kiest proftpd een poort uit de passive range waarop de data overdracht plaats vindt.

Nu zit er bij een van mijn opdrachtgever een Firewall tussen die uitgaand verkeer filtert. (dus aan de klant kant) Nu kun je een snelle oplossing implementeren door poort 10000:20000 open te zetten bij de klant maar dat is geen mooie oplossing. Nu had ik ook gezien dat je proftpd ook als active server kan configureren in dat geval communiceert de klant via poort 20 met jouw server, en dan ben je dus van het probleem af.

Ik heb even gekeken in de config van proftpd maar daar kan ik weinig informatie uit halen. Poort 20 heb ik geopend aan mijn server kant. Iemand tips?

plain FTP is echt niet meer van deze tijd.
En het is bijzonder vervelend dat active mode beter is voor firewalls aan de server kant, terwijl passive mode beter is voor firewalls aan de client kant.

Op zich kan een goede nat/firewall (connection tracking) bij plain FTP wel helpen om geen reeks poorten open te zetten maar alleen de sessie poort .
Alleen als je ftp-s (ftp met ssl) gebruikt kan de firewall/NAT router niet meer meekijken in de sessie om te zien welke poorten gebruikt gaan worden en evt de sessie te rewriten) .

Anyway : het is de client die de server vraagt om active dan wel passive mode .
De meeste clients defaulten naar passive, omdat dat voor NAT devices aan de client kant simpeler is.

Oefen gewoon met een eigen ftp client van buiten en zoek naar active/passive instellingen , dan kun je zien of het werkt .
Ik zag met google niet zo snel of/hoe je proftp passive kunt laten weigeren zodat de client gedwongen wordt om active te vragen.

En met iets beter kijken zie ik dat wel een optie is om passive ftp te verbieden in de server .

http://www.proftpd.org/docs/howto/NAT.html

Let op dat het dus voor (andere) clients heel onhandig kan zijn .