Citat:
Da li mozes malo da pojasnis ovo, Marko ?
Naravno.
FTP je protokol koji je nastao u vreme kad bezbednost na Internetu nije bila toliko bitna. Protokoli su tada dizajnirani kako bi se prikazale različite mogućnosti i pristupi problemima.
Najočiglednija zamerka FTP-u kao protokolu je to što koristi plain tekst identifikaciju korisnika. Mnogi drugi popularni protokoli ovo rade, tako da dok se oni ne "oprave", ovo nije zamerka FTP-u.
ALI!
Kada se klijent
A konektuje FTP-om na server
B, inicira se TCP konekcija sa neprivilegovanog (>1024) porta na klijentu ka portu 21 na serveru. Međutim, kad klijent zahteva bilo kakav transfer od servera ili ka serveru (LIST, GET, PUT, itd.). nastaje čitavo sr. U zavisnosti od toga da li je u upotrebi "passive" ili "active" FTP, dešava se jedna od sledeće dve stvari:
Active:
SERVER uspostavlja konekciju KA klijentu SA porta 20 (ftp-data) na nedefinisani (slučajni) neprivilegovani port. Na koji će port server da se konektuje, server obavesti klijenta preko kontrolne sesije.
Passive:
Klijent uspostavlja konekciju ka serveru sa slučajnog neprivilegovanog porta ka SLUČAJNOM NEPRIVILEGOVANOM portu na serveru (opet je dogovor preko kontrolne sesije).
Ako već nije očigledno iz ovog iznad, napraviti firewall koji neće biti bušan kao kanta, a da pritom ispravno radi makar jedan vid FTP-a je gotovo nemoguće (ako izuzmemo stateful application-aware firewalle, tipa Cisco PIX, Checkpoint, itd.).
Eto :-).
Marko.