Servidor FTP Passivo ou Ativo


Saiba quando você deve configurar o seu Cliente FTP para usar o modo Passivo ou modo Ativo.


Muitos firewalls não aceitam conexões FTP por meio de uma interface externa como roteadores. O firewall detecta essas conexões como tentativas de conexão não solicitadas e, por isso cancela ou bloqueia a conexão.

servidor-ftp-passivo-ou-ativo-1

Os "Clientes FTP" configurados em Modo Padrão não funcionam nesse ambiente porque o "Servidor FTP" deve fazer uma nova solicitação de conexão para o "Cliente FTP", confuso não ?

O FTP suporta dois modos de conexão: Ativo e Passivo.
Servidor-FTP-Passivo-Ativo
MODO ATIVO:
No modo Ativo, o cliente FTP estabelece o canal/porta de comandos, mas é o servidor que estabelece o canal de dados (o servidor recebe comandos normalmente na porta 21 e a porta 20 do servidor comunica com a porta X do cliente, onde X seria uma porta que o cliente especificou, para transferir os dados).
ftp-modo-ativo-passivo

Ainda no modo ativo, o cliente requisita o servidor usando uma porta aleatória, por exemplo, a porta 1024, endereçando pacotes até a porta 21 do servidor.

O servidor imediatamente contata o cliente de volta usando a porta seguinte (do cliente) para enviar dados.

Se o cliente usou a porta 1024 para abrir uma conexão, então o servidor enviará os dados na porta 1025, e assim por diante.

A questão principal é que o modo ativo não funciona quando o cliente acessa o Servidor FTP através de uma conexão dinâmica como as das operadoras NET, OI , TIM, etc....

Ao tentar responder, o servidor cairia na porta 1027 do "gateway da rede", sem conseguir chegar ao cliente. Isso me acontece o tempo todo  quando uso NET Virtua Bloqueado.

Quando o FTP é utilizado em modo ativo em uma rede restritiva como a da NETVirtua atualmente, normalmente temos sintomas como:
  • conexão de FTP OK, porém não lista os diretórios da hospedagem, isso acontece sempre comigo.
  • alguns arquivos/pastas publicados anteriormente não ficam "visíveis" no FTP, sintoma normal que tenho visto acontecer em algumas redes e/ou acessos.
  • Não é possível obter a listagem de pastas e/ou diretórios FTP.
Nos casos acima pode ser necessário ajustar o modo que é usado pelo "Cliente FTP" dependendo da configuração do firewall no cliente ou no servidor FTP.

Todos os clientes FTP atuais suportam os modos Ativo e Passivo.

Administradores de firewall podem não querer usar os servidores FTP no modo Passivo porque o servidor FTP pode abrir qualquer número de porta aleatóriamente, e isto é um risco imenso, eu concordo, mas acho que não tem outro jeito também.

Mesmo assim é possível configurar seu "Servidor FTP" para permitir intervalos de portas aleatória no intervalo de 1024 até 65535 - que é recomendado. Muito cuidado nesta hora pois são muitas portas não é ? Digo aqui que nem sempre funciona, mas vale a pena testar pela segurança que oferece.

Como eu posso corrigir ECONNREFUSED – Conexão recusada por erro do servidor no FileZilla ?

MODO PASSIVO:
Já no modo passivo, o cliente FTP estabelece ambos os canais de comunicação. Nessa opção o servidor diz para o cliente qual porta deve ser utilizada para o canal de dados.

O modo Passivo é geralmente utilizado em situações em que o servidor FTP não consegue estabelecer um canal de dados específico para este fim.
ftp-simples-modo-passivo
Uma das principais razões para para se usar o modo passivo é o bloqueio de portas por parte de Firewalls, ou mais uma vez as operadoras como a NET Virtua bloqueando portas de serviços como FTP e VPN. Aconteceu comigo !

Pode existir uma regra no servidor que permite abrir o canal de comandos (a porta 21 está liberada) mas o servidor pode não ser capaz de estabelecer o canal de dados para transferência devido ao Firewall ou restrições de portas e serviços em seu provedor de internet.

Algumas vezes eu configuro meus acessos no modo passivo utilizando FTP Simples (sem criptografia), faço desta forma quando não consigo de jeito nenhum obter a lista das pastas do servidor, mas é inseguro pois não há uso de criptografia, tudo enviado em formato texto simples facilmente interceptável.

No caso acima o modo passivo resolve esse problema abrindo ambos os canais no cliente, mas isto constitui um risco grande de segurança, como afirmei várias vezes categóricamente.


Algumas vezes recebi a mensagem abaixo:
O servidor enviou uma resposta passiva com um endereço não roteável. Usando o endereço do servidor como alternativa. neste caso a solução é abrir as portas:
  • 2222 SSH
  • 2121 FTP
  • 7071 Para modo Passivo

Como corrigir o erro ECONNREFUSED:
Se você recebeu a mensagem: ECONNREFUSED – Conexão recusada por erro do servidor, siga os passos abaixo que talvêz você tenha sucesso resolvendo seu problema de ECONNREFUSED:
  1. ativar modo passivo no servidor e cliente.
  2. tentar usar o ip externo do servidor.
  3. deixar o servidor escolher a porta de conexão do cliente.
  4. se possível usar um port range no server de 5555 a 6666.
  5. Boa sorte !
Conclusão:
Tente vários modos e utilize o modo que melhor for para você e sua empresa, as vezes não temos muitas escolhas. Uma dica que eu dou e que vale apena testar é: configure portas externas como 8221 ou 8280, mantendo as portas internas do seu servidor nos padrões normais.


Ajude o blog com um PIX de R$1,00 ou R$2,00 para contato@gestortecnico.net

O Gestor Técnico fornece acesso gratuito a todos os seus artigos, acreditamos que nós fornecemos valor ao leitor criando conteúdo especializado para profissionais.

Nenhum comentário :

Postar um comentário

Por favor, evite palavras de baixo calão, ou qualquer tipo de ofensas. Seja construtivo ao comentar !