---

Hej agtværdige skribenter

Jeg har et lille problem med at have 2 maskiner til at køre ftp på samme
hjemmenetværk.

Jeg har en standard CC router hvor alt forwardes til en bedaget Planet
Router (XRT-401D).

Bagved denne ligger mine maskiner med statisk ip. I NAT/Virtual Server
har jeg defineret div. maskiners ip med tilhørerende porte alt efter
div. programmer og services.

Dette setup fungerer upåklageligt.

MEN..

Jeg kan ikke få lov at lade forskellige statiske ip´er dele samme FTP
port (21)

Tilsyneladende kan jeg ikke bare i router - og FTP-program, benytte en
anden port på den ene maskine.

Nogen gode forslag?

Eventuelle besvarelser må gerne være pædagogisk da min læringskurve udi
netværk generelt er stejl..

På forhånd tak

---

Janus wrote:

> Jeg kan ikke få lov at lade forskellige statiske ip´er dele samme FTP
> port (21)

Nej.

> Tilsyneladende kan jeg ikke bare i router - og FTP-program, benytte en
> anden port på den ene maskine.

I routeren kan du vælge den port du ønsker. Routeren er ligeglad med
hvilken slags trafik der er på en port.
Der er kun FTP-serveren tilbage. Hvis den ikke kan finde ud af at
anvende en anden port, så skift den ud.

> Eventuelle besvarelser må gerne være pædagogisk da min læringskurve udi
> netværk generelt er stejl..

Port 21 er standard FTP-port, men det er ikke ensbetydende med at FTP
_skal_ ligge på port 21. FTP kan også ligge på port 44105 eller en helt
3. port.


--
Mvh
Jesper Poulsen

---

Jesper Poulsen wrote:

> Port 21 er standard FTP-port, men det er ikke ensbetydende med at FTP
> _skal_ ligge på port 21. FTP kan også ligge på port 44105 eller en helt
> 3. port.

Men ftp er jo noget mærkeligt noget. Så nogle gange kan tingene gå lidt
mere "smooth" hvis routeren kender ftp-protokollen, og dermed kan hjælpe
server/klient med de korrekte oplysninger ved oprettelse af
data-forbindelsen.

---

On Mon, 16 Mar 2009 19:12:30 +0100, dennis <dennis@na> wrote:

>Jesper Poulsen wrote:
>
>> Port 21 er standard FTP-port, men det er ikke ensbetydende med at FTP
>> _skal_ ligge på port 21. FTP kan også ligge på port 44105 eller en helt
>> 3. port.
>
>Men ftp er jo noget mærkeligt noget.
Nej, det er nok noget af det mere simple der er.

>Så nogle gange kan tingene gå lidt mere "smooth" hvis routeren kender ftp-protokollen
Hvad skal/kan routeren dog bruge det til ?

>og dermed kan hjælpe server/klient med de korrekte oplysninger ved oprettelse af
>data-forbindelsen.
Vil du venligst forklarer lidt mere ?

/Hans

---

Hans Kjærgaard wrote:

> Nej, det er nok noget af det mere simple der er.

Det er den bestemt ikke mht åbning/forwarding af porte, til hvilke ip
adresse, passiv vs aktiv mode ...

---

Hans Kjærgaard wrote:

>> og dermed kan hjælpe server/klient med de korrekte oplysninger ved oprettelse af
>> data-forbindelsen.
> Vil du venligst forklarer lidt mere ?

På kontrolforbindelsen, port 21, sendes kun kommandoer. For at sende
data skal der oprettes en sekundær forbindelse, dataforbindelsen. Den
kan nemt drille når man sidder bag en nat-router (lan vs wan ip, åbning
af port til dataforbindelsen).

Så kender routeren til ftp, og gør man det på en port den overvåger ftp
på, så kan routeren ændre forkerte oplysninger i ftp-kontrolpakken inden
den sendes videre.

---

dennis:

> Hans Kjærgaard wrote:
>
>>> og dermed kan hjælpe server/klient med de korrekte oplysninger ved
>>> oprettelse af data-forbindelsen.
>> Vil du venligst forklarer lidt mere ?
>
> På kontrolforbindelsen, port 21, sendes kun kommandoer. For at sende
> data skal der oprettes en sekundær forbindelse, dataforbindelsen. Den
> kan nemt drille når man sidder bag en nat-router (lan vs wan ip,
> åbning af port til dataforbindelsen).
>
> Så kender routeren til ftp, og gør man det på en port den overvåger
> ftp på, så kan routeren ændre forkerte oplysninger i ftp-kontrolpakken
> inden den sendes videre.

Er det ikke der man bruger UPnP?


--
Oops!... I did it again

---

Axel Hammerschmidt wrote:

> Er det ikke der man bruger UPnP?

Nej, det er ikke helt det samme. Og personligt har jeg altid den feature
slået fra, da jeg ikke ønsker at ethvert program skal kunne fjernstyre
routeren.

---

dennis:

> Axel Hammerschmidt wrote:
>
>> Er det ikke der man bruger UPnP?
>
> Nej, det er ikke helt det samme.

Som Hans skrev: Vil du venligst forklarer lidt mere?


--
2GB RAM should be enough for anyone.

---

Axel Hammerschmidt skrev:

> Som Hans skrev: Vil du venligst forklarer lidt mere?

Som jeg har forstået det, så åbner en FTP-forbindelse en session over
port 21. på den forbindelse aftales så hvilke porte datatransmissionen
skal foregå på. Forstår routeren FTP-protokollen, så tillader den
trafikken på disse porte hvis der er åbent på port 21.

Sådan ser det i hvert fald ud, når jeg kigger på hvad der sker i en PIX.
Der åbnes en forbindelse på port 21, og derefter åbner den en eller
flere datasessions på vilkålige porte. Nu forstår min PIX så ikke
FTP-trafikken fra min FTP-client, og den tillader ikke traffik på de porte.

Resultatet set fra FTP-Clienten er at du godt kan connecte til en
FTP-server, men du kan ikke engang lave en DIR.

--
Robert Piil

---

Robert Piil:

> Axel Hammerschmidt skrev:
>
>> Som Hans skrev: Vil du venligst forklarer lidt mere?
>
> Som jeg har forstået det, så åbner en FTP-forbindelse en session
> over port 21. på den forbindelse aftales så hvilke porte
> datatransmissionen skal foregå på. Forstår routeren
> FTP-protokollen, så tillader den trafikken på disse porte hvis der
> er åbent på port 21.

OK. Jeg har Googlet med: UPnP FTP ports

- og fik denne

http://www.ftprush.com/kb-ftp-upnp-portmapping.html

- der benytter UPnP. Og skrevet på et ret ubehjælpsomt engelsk.

Hvilke søgeord skal jeg benytte til at finde det du beskriver i
stedet for UPnP - statefull packet inspection eller...?

Jeg kan ikke se det store problem i at benytte UPnP. Er der sluppet
malware ind på een eller anden måde vil det alligevel udgøre en
sikkerhedsproblem uanset UPnP.

I øvrigt er det ikke noget problem at få kontrol over en computer bag
en router udefra uden UPnP. Se f.eks dette eksempel

: Newsgroups: dk.edb.mac
: Subject: Lav en "bagdør" i OS X
: From: hlexa@hotmail.com (Axel Hammerschmidt)
: Date: Mon, 9 Feb 2009 03:50:51 +0100
: Message-ID: <1iuulox.o8mil7jsi1muN%hlexa@hotmail.com>


--
2GB RAM should be enough for anyone.

---

Axel Hammerschmidt wrote:

> Jeg kan ikke se det store problem i at benytte UPnP. Er der sluppet

Du har ikke længere selv kontrol over hvilke porte der er åbne.

> malware ind på een eller anden måde vil det alligevel udgøre en
> sikkerhedsproblem uanset UPnP.

Malware kommer langt lettere ind med UPnP, da brugeren ikke længere selv
er herre over hvilke porte der bliver åbnet. Det svarer til at sidde
direkte på nettet uden NAT-router og uden firewall.

> I øvrigt er det ikke noget problem at få kontrol over en computer bag
> en router udefra uden UPnP. Se f.eks dette eksempel

Det kræver at der er et program er skaber forbindelse ud til en anden
maskine. Med UPnP behøver der ikke at være en maskine udenfor til at
connecte op mod. Med UPnP er der pivåbent ind, bare man starter MSN
Messenger. UPnP er et sikkerhedshul af format og det undrer mig ikke at
du ikke ser problemer i protokollen. Det understreger blot din
inkompetence endnu mere.


--
Mvh
Jesper Poulsen

---

Jesper Poulsen:

> Axel Hammerschmidt wrote:
>
>> Jeg kan ikke se det store problem i at benytte UPnP. Er der
>> sluppet
>
> Du har ikke længere selv kontrol over hvilke porte der er åbne.

Det har du heller ikke når det er routeren der "åbner" portene.

>> malware ind på een eller anden måde vil det alligevel udgøre en
>> sikkerhedsproblem uanset UPnP.
>
> Malware kommer langt lettere ind med UPnP, da brugeren ikke
> længere selv er herre over hvilke porte der bliver åbnet. Det
> svarer til at sidde direkte på nettet uden NAT-router og uden
> firewall.

Det er ikke rigtigt. Det eneste der sker er, at der åbnes porte
indefra efter behov.

>> I øvrigt er det ikke noget problem at få kontrol over en computer
>> bag en router udefra uden UPnP. Se f.eks dette eksempel
>
> Det kræver at der er et program er skaber forbindelse ud til en
> anden maskine. Med UPnP behøver der ikke at være en maskine
> udenfor til at connecte op mod.

Så hvad er probelemt?

> Med UPnP er der pivåbent ind, bare man starter MSN Messenger. UPnP
> er et sikkerhedshul af format og det undrer mig ikke at du ikke
> ser problemer i protokollen. Det understreger blot din
> inkompetence endnu mere.

En samling hjernedøde celler, der roder godt og grundigt rundt i
begreberne.


--
2GB RAM should be enough for anyone.

---

Axel Hammerschmidt wrote:

>> Du har ikke længere selv kontrol over hvilke porte der er åbne.
> Det har du heller ikke når det er routeren der "åbner" portene.

Min router åbner ikke selv for noget.

> Det er ikke rigtigt. Det eneste der sker er, at der åbnes porte
> indefra efter behov.

Efter hvilket behov?
Der åbnes porte efter programmers forgodtbefindende - åbninger som man
ikke selv er herre over!

> Så hvad er probelemt?

At det er et sikkerhedshul!

> En samling hjernedøde celler, der roder godt og grundigt rundt i
> begreberne.

Ja, det ser vi. Hold venligst op med at sprede din inkompetance til
andre her på Usenet!


--
Mvh
Jesper Poulsen

---

Axel Hammerschmidt skrev:
> Robert Piil:

> OK. Jeg har Googlet med: UPnP FTP ports

Det har intet med UPnP at gøre i mit eksempel.

> Hvilke søgeord skal jeg benytte til at finde det du beskriver i
> stedet for UPnP - statefull packet inspection eller...?

Jeg har ikke selv studeret det nærmere, men blot lytet efter mens
klogere folk har talt.

Et bud kunne være: "FTP rfc"

> Jeg kan ikke se det store problem i at benytte UPnP. Er der sluppet
> malware ind på een eller anden måde vil det alligevel udgøre en
> sikkerhedsproblem uanset UPnP.

Jeg har vænnet mig til at lytte til folk (bla. i denne gruppe) der i
mange andre tilfælde giver kompetente svar. Det plejer at give en
rimelig sandsynlighed for at de også i dette tilfælde ved hvad de taler
om. Jesper er en af dem jeg lytter til.

....sjovt nok er mange af dem jeg har lært at betragte som kompetente i
opposition til dig.

> I øvrigt er det ikke noget problem at få kontrol over en computer bag
> en router udefra uden UPnP.

Så man kan lige så godt lukke døren helt op?

--
Robert Piil

---

Robert Piil:

> Axel Hammerschmidt skrev:
>
>> Robert Piil:
>
>> OK. Jeg har Googlet med: UPnP FTP ports
>
> Det har intet med UPnP at gøre i mit eksempel.

Dit eksempel var FTP og at åbne porte. Jeg spurgte pænt, om der var en
anden måde end UPnP. Det er der så ikke...?

>> Hvilke søgeord skal jeg benytte til at finde det du beskriver i
>> stedet for UPnP - statefull packet inspection eller...?
>
> Jeg har ikke selv studeret det nærmere, men blot lytet efter mens
> klogere folk har talt.
>
> Et bud kunne være: "FTP rfc"

Come on! Kan du ikke gøre bedre?

>> Jeg kan ikke se det store problem i at benytte UPnP. Er der sluppet
>> malware ind på een eller anden måde vil det alligevel udgøre en
>> sikkerhedsproblem uanset UPnP.
>
> Jeg har vænnet mig til at lytte til folk (bla. i denne gruppe) der i
> mange andre tilfælde giver kompetente svar. Det plejer at give en
> rimelig sandsynlighed for at de også i dette tilfælde ved hvad de taler
> om. Jesper er en af dem jeg lytter til.
>
> ...sjovt nok er mange af dem jeg har lært at betragte som kompetente i
> opposition til dig.

Ja, jeg er i opposition her. Og det har jeg begrundet.

>> I øvrigt er det ikke noget problem at få kontrol over en computer bag
>> en router udefra uden UPnP.
>
> Så man kan lige så godt lukke døren helt op?

Hvilken dør? Tror du der en en "dør"?


--
Oops!... I did it again

---

Axel Hammerschmidt skrev:

> Dit eksempel var FTP og at åbne porte. Jeg spurgte pænt, om der var en
> anden måde end UPnP. Det er der så ikke...?

Den PIX jeg kigger på har ikke UPnP, den har kun åbnet for port 21, og
opfører sig som beskrevet.

> Come on! Kan du ikke gøre bedre?

Nej, den opførsel jeg beskrev er korrekt ftp-kommunikation. Jeg skrev
også at nogle routere forstår korrekt ftp-kommunikation og derfor kan
holde styr på hvilke porte der skal åbnes. Det kan de selvfølgelig kun,
hvis de kigger med på kommunikationen på port 21.

>>> I øvrigt er det ikke noget problem at få kontrol over en computer bag
>>> en router udefra uden UPnP.
>> Så man kan lige så godt lukke døren helt op?
>
> Hvilken dør? Tror du der en en "dør"?

Den diskussion tror jeg bare jeg lader ligge.

--
Robert Piil

- Diskuter aldrig med en tåbe! Han trækker dig ned på sit niveau og slår
dig på rutinen.

---

On 17 Mar 2009 22:44:35 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
wrote:

> Dit eksempel var FTP og at åbne porte. Jeg spurgte pænt, om der var en
> anden måde end UPnP. Det er der så ikke...?

Jo, Robert har forklaret dig, hvordan FTP virker i alle almindelige
NAT-boxe.

Routeren lytter på kontrolsessionen (fra klienten til 21/tcp) og åbner
for datasessionen ud fra, hvad den ser i kontrolsessionen. Det er helt
normal opførsel.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark wrote:

> Jo, Robert har forklaret dig, hvordan FTP virker i alle almindelige
> NAT-boxe.
>
> Routeren lytter på kontrolsessionen (fra klienten til 21/tcp) og åbner
> for datasessionen ud fra, hvad den ser i kontrolsessionen. Det er helt
> normal opførsel.

Og hvis ftp serveren eller klienten, afhængigt af om der køres aktivt
eller passivt, ikke aner noget om omverdenen, så medsendes den interne
ip adresse, når der udveksles ip og port. Det kan routeren også rette op på.

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

> On 17 Mar 2009 22:44:35 GMT, Axel Hammerschmidt <hlexa@hotmail.com>
> wrote:

>> Dit eksempel var FTP og at åbne porte. Jeg spurgte pænt, om der var
>> en anden måde end UPnP. Det er der så ikke...?

> Jo, Robert har forklaret dig, hvordan FTP virker i alle almindelige
> NAT-boxe.

> Routeren lytter på kontrolsessionen (fra klienten til 21/tcp) og åbner
> for datasessionen ud fra, hvad den ser i kontrolsessionen. Det er helt
> normal opførsel.

Jeg er blevet lidt forvirret af det her, for det jeg erindrer at have fået
forklaret er at det er port 20 som serveren benytter til at sende
kontrolbeskeder til klienten og at det er derfor port 20 skal være åben for
indgående trafik på klient-siden, uanset om der er tale om upload eller
download.

> -A

Med venlig hilsen

Peter Larsen

---

On Fri, 27 Mar 2009 20:43:21 +0100, "Peter Larsen"
<digilyd@hotmail.com> wrote:

>> Routeren lytter på kontrolsessionen (fra klienten til 21/tcp) og åbner
>> for datasessionen ud fra, hvad den ser i kontrolsessionen. Det er helt
>> normal opførsel.

> Jeg er blevet lidt forvirret af det her, for det jeg erindrer at have fået
> forklaret er at det er port 20 som serveren benytter til at sende
> kontrolbeskeder til klienten

Nej, 20/tcp er serverens source-port. Det er ikke en destination-port.
Og så er det som sagt til dataoverførslen, ikke kontrol.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

> On Fri, 27 Mar 2009 20:43:21 +0100, "Peter Larsen"
> <digilyd@hotmail.com> wrote:

>>> Routeren lytter på kontrolsessionen (fra klienten til 21/tcp) og
>>> åbner for datasessionen ud fra, hvad den ser i kontrolsessionen.
>>> Det er helt normal opførsel.

>> Jeg er blevet lidt forvirret af det her, for det jeg erindrer at
>> have fået forklaret er at det er port 20 som serveren benytter til
>> at sende kontrolbeskeder til klienten

> Nej, 20/tcp er serverens source-port. Det er ikke en destination-port.
> Og så er det som sagt til dataoverførslen, ikke kontrol.

Tak!

> -A

Med venlig hilsen

Peter Larsen

---

Axel Hammerschmidt wrote:

>> Et bud kunne være: "FTP rfc"
> Come on! Kan du ikke gøre bedre?

Axel Hammerschmidts inkompetence slår til igen for fulde "hammer"...!

> Ja, jeg er i opposition her. Og det har jeg begrundet.

Har du?

Udover at du gang på gang afslører din totale inkompetence indenfor
netværk. Gør dine medmennesker en tjeneste - undlad at skrive her i gruppen!

> Hvilken dør? Tror du der en en "dør"?

Axel Hammerschmidts inkompetence slår til igen-igen.


--
Mvh
Jesper Poulsen

---

Robert Piil <piil@nospam.dk> wrote:

>> Jeg kan ikke se det store problem i at benytte UPnP. Er der sluppet
>> malware ind på een eller anden måde vil det alligevel udgøre en
>> sikkerhedsproblem uanset UPnP.
>
>Jeg har vænnet mig til at lytte til folk (bla. i denne gruppe) der i
>mange andre tilfælde giver kompetente svar. Det plejer at give en
>rimelig sandsynlighed for at de også i dette tilfælde ved hvad de taler
>om. Jesper er en af dem jeg lytter til.
>
>...sjovt nok er mange af dem jeg har lært at betragte som kompetente i
>opposition til dig.

Suk, altså. Er det virkelig nødvendigt, at enhver diskussion med Axel
ender i personfnidder? Jeg forstår godt at visse udsagn ikke bør stå
uimodsagt, så andre måske kunne tro de var korrekte. Men det må da
kunne gøres lidt mere elegant end det er set i den senere tid.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund skrev:

>> ...sjovt nok er mange af dem jeg har lært at betragte som kompetente i
>> opposition til dig.
>
> Suk, altså. Er det virkelig nødvendigt, at enhver diskussion med Axel
> ender i personfnidder? Jeg forstår godt at visse udsagn ikke bør stå
> uimodsagt, så andre måske kunne tro de var korrekte. Men det må da
> kunne gøres lidt mere elegant end det er set i den senere tid.

Det er svært at argumentere imod for du har jo ret. Jeg prøver normalt
også at holde mig uden for den slags diskussioner, men en gang imellem
svigter vit normale "ignore troll"-skjold. Beklager!

--
Robert Piil
http://piil.org/

---

Axel Hammerschmidt wrote:

> Er det ikke der man bruger UPnP?

Nej, UPnP er noget andet. UPnP er PC-programmerne der styrer routeren og
åbner porte efter forgodtbefindende. Reelt set er der tale om et
gigantisk sikkerhedshul.

Hvis ikke man anvender UPnP kan man sagtens undvære sin personlige
firewall. Hvis man anvender UPnP _skal_ der være personlig firewall på
samtlige maskiner der sidder bag routeren.

Har man kun én maskine og samtidigt benytter sig af UPnP kunne man lige
så godt droppe NAT-routeren, for alle fordelene er væk og den giver kun
falsk sikkerhed.


--
Mvh
Jesper Poulsen

---

dennis skrev:

>>> og dermed kan hjælpe server/klient med de korrekte oplysninger ved
>>> oprettelse af data-forbindelsen.
>> Vil du venligst forklarer lidt mere ?
>
> På kontrolforbindelsen, port 21, sendes kun kommandoer. For at sende
> data skal der oprettes en sekundær forbindelse, dataforbindelsen. Den
> kan nemt drille når man sidder bag en nat-router (lan vs wan ip, åbning
> af port til dataforbindelsen).
>
> Så kender routeren til ftp, og gør man det på en port den overvåger ftp
> på, så kan routeren ændre forkerte oplysninger i ftp-kontrolpakken inden
> den sendes videre.

Jep, og fra den anden side er jeg netop i denne uge erfaret at en PIX
ikke kan håndtere at tillade dataportene af få connection (sammen med WS
FTP pro).

--
Robert Piil

---

On Mon, 16 Mar 2009 17:47:35 +0100, Janus
<janus@tekstfyldcontumacious.net> wrote:

>Jeg har et lille problem med at have 2 maskiner til at køre ftp på samme
>hjemmenetværk.

...cut

>Tilsyneladende kan jeg ikke bare i router - og FTP-program, benytte en
>anden port på den ene maskine.

>Nogen gode forslag?

FTP er en kompliceret protokol der bruger to porte, den ene (standard
port 21) til control, den anden (standard port 20) til data.

http://en.wikipedia.org/wiki/Ftp

Det er muligt at få ftp til at køre på alternative porte - Prøv en
google søgning på 'alternative ftp port'.

<mlr>

---

Michael Rasmussen <michael@invalid> wrote:

>FTP er en kompliceret protokol der bruger to porte, den ene (standard
>port 21) til control, den anden (standard port 20) til data.
>
>http://en.wikipedia.org/wiki/Ftp
>
>Det er muligt at få ftp til at køre på alternative porte - Prøv en
>google søgning på 'alternative ftp port'.

Man kan også køre passiv. Så er det klienten der starter
dataforbindelsen. Tilgengæld skal serveren tillade det.

Jeg faldt lige over denne

http://slacksite.com/other/ftp.html

--
Lars Kim Lund
http://www.net-faq.dk/

---

Janus:

<snip>

> MEN..
>
> Jeg kan ikke få lov at lade forskellige statiske ip´er dele samme
> FTP port (21)

Det skal du heller ikke kunne når de skal tilgås "udefra". ip-
adressen er jo det samme, nemlig routerens "udvendig" ip-adresse.

> Tilsyneladende kan jeg ikke bare i router - og FTP-program,
> benytte en anden port på den ene maskine.

Bruger du Virtual Server - side 34 - 35 i manualen?

F.eks hvor den ene har Private Port 21 og Public Port 21, og den
anden har Private Port 2100 og Public Port 2100. Med forskellige
statisk ip-adresser forstås.

Det angiver du i setup til den enkelte ftp server

Så skal du ha' fat i den første ftp server udefra forbinder du med en
ftp klient til <routerens ipadresse> på port 21. Og tilsvarende med
den anden, hvor du forbinder til <routerens ip-adresse> på port 2100
med klienten.

Sådan virker det her.

Hvad er det for noget FTP-server du bruger?


--
2GB RAM should be enough for anyone.