FTP Passive Mode

Untuk kebutuhan normal, seperti umumnya FTP server, VSFTPD akan listen di port 21. Dan setelah semua settingan normal sudah dilakukan, FTP server sudah bisa diakses oleh sembarang FTP client tanpa masalah.

Akan tetapi, berbeda dg kebanyakan server2 lain seperti Email, Web, dll. yg dapat berjalan dg normal di belakang firewall menggunakan NAT, maka VSFTPD tidak dapat berjalan normal apabila ia berada di belakang firewall menggunakan NAT. Untuk ini harus ditambahkan setting pada file konfigurasi VSFTPD agar dapat berjalan pada passive mode, kemudian menyesuaikan setting NAT pada firewall. Caranya adalah dengan mengaktifkan mode passive mode di VSFTPD.

Sebagai contoh, penempatan sebuah FTP server yg diletakkan pada area DMZ di belakang firewall yg mana ia dapat diakses dari jaringan luar dan dalam, secara mendasar akan berbentuk sbb :

Internet (External)
||
||
Firewall ====== DMZ FTP Server
||
||
Internal (LAN)

Bila FTP Server dalam posisi DMZ seperti dalam gambar, maka agar FTP Server dapat diakses dari Internet maupun LAN, maka yg harus dilakukan sbb :

1. Aktifkan passive mode pada konfigurasi VSFTPD di server FTP
2. Setting port range tertentu untuk passive mode (mis : 50000-51000)
3. Tambahkan rule baru di firewall –> outbound/inbound ke/dari FTP Server dan port forwarding (NAT) ke FTP Server

Detailnya sbb :

Buka file /etc/vsftpd/vsftpd.conf, lalu tambahkan di bagian bawah:

# Aktifkan mode passive FTP
pasv_enable=YES
# Setting port range misalnya 50000 s/d 51000
pasv_max_port=51000
pasv_min_port=50000
# Aktifkan port range
port_enable=YES

Tambahkan rule baru di Firewall :
1. Pass Inbound rule to allow TCP 21 dari External to DMZ FTP Server
2. Pass Outbound rule to allow TCP 50000-51000 dari DMZ FTP Server to External
3. Pass Inbound rule to allow TCP 50000-51000 dari External to DMZ FTP Server
4. Pass Inbound rule to allow TCP 21 dari Internal LAN to DMZ FTP Server
5. Pass Outbound rule to allow TCP 50000-51000 dari DMZ FTP Server to Internal LAN
6. Pass Inbound rule to allow TCP 50000-51000 dari Internal LAN to DMZ FTP Server
Tambahkan port forwarding (NAT) di firewall :
1. External IP publik to DMZ FTP Server pada port 21
2. External IP publik to DMZ FTP Server pada port 50000-51000
3. Internal IP LAN to DMZ FTP Server pada port 21
4. Internal IP LAN to DMZ FTP Server pada port 50000-51000

Maka sekarang VSFTPD sudah dapat diakses dari Internet dg IP publik maupun dari LAN dg IP private menggunakan NAT. Contoh setting di atas adalah secara basic pada device firewall secara umum. Anda dapat merubah/menambah sesuai dg kebutuhan.

Sumber tulisan ini dari website : http://www.riyadikh.com/?p=683

Koneksi SSH melalui SOCKS Proxy

Misalkan Anda mempunyai sebuah server di internet, katakanlah Host A, yang menjalankan servis SSH server pada port standar 22. Pada kondisi normal, Anda bisa bebas melakukan koneksi SSH ke Host A, tapi suatu ketika Anda sampai pada suatu keadaan dimana koneksi SSH tidak diperbolehkan dalam suatu jaringan tertentu (katakanlah di kampus), sang admin hanya memperbolehkan koneksi melalui HTTP Proxy dan beberapa servis lain (seperti SMTP, POP3, dan IMAP). Tapi disini saya tidak akan membahas koneksi SSH melalui HTTP Proxy (sudah banyak artikel yang membahas hal ini).

Yang akan kita bahas adalah bagaimana melakukan koneksi SSH melalui SOCKS Proxy. Tapi sebelumnya apa itu SOCKS Proxy?

Dari Wikipedia:

SOCKS is an Internet protocol that facilitates the routing of network packets between client–server applications via a proxy server. SOCKS performs at Layer 5 of the OSI model—the session layer (an intermediate layer between the presentation layer and the transport layer). Port 1080 is the registered port designated for the SOCKS server.

Disitu juga diberikan contoh kasus:

Bill wishes to communicate with Jane over the internet, but a firewall exists on his network between them and Bill is not authorized to communicate through it himself. Therefore, he connects to the SOCKS proxy on his network and sends to it information about the connection he wishes to make to Jane. The SOCKS proxy opens a connection through the firewall and facilitates the communication between Bill and Jane. For more information on the technical specifics of the SOCKS protocol, see the sections below.

Yang kurang lebih maksudnya adalah kita menggunakan perantara untuk melakukan koneksi, karena koneksi langsung tidak diperbolehkan. Misal: A dan B sebagai host client dan server yang ingin melakukan koneksi, dan C adalah SOCKS proxy. Tapi koneksi dari A ke B tidak diperbolehkan, sedangkan koneksi C ke B diperbolehkan. Nah, kita bisa menumpang koneksi dari C ke B, sehingga A bisa terhubung ke B.
OK, langsung saja kita praktekkan. Pertama-tama kita melakukan koneksi dari A ke C, dalam hal ini kita akan membuat SOCKS proxy menggunakan openSSH.

$ ssh -p993 -D localhost:4321 -l user hostC

Dalam hai ini saya melakukan SSH ke Host C melalui port 993, bukan port standar 22 karena memang di blok oleh admin, port 993 sebenarnya adalah servis IMAP, yang diperbolehkan oleh admin, jadi sebelumnya pastikan SSH server di Host C berjalan di port 993 atau bisa dual port 22 dan 993. Sebenarnya ini hanya akal-akalan saya untuk mengelabui admin saja :D
Sekarang kita mempunyai SOCKS Proxy di localhost port 4321. Tapi tunggu dulu, kenapa localhost? Bukankah SOCKS Proxy adalah Host C? Ya, lagi-lagi ini adalah akal-akalan saya, Anda tentu saja bisa menggunakan koneksi langsung ke Host C, tanpa melakukan binding/tunnel SSH terlebih dahulu, tapi yang menjadi masalah disini adalah saya juga tidak bisa melakukan koneksi SOCKS dari A ke C, lihat di atas, SOCKS Proxy menggunakan port 1080, yang tentu saja di blok oleh admin.
Selanjutnya tinggal menggunakan SOCKS Proxy tersebut untuk melakukan koneksi ke Host B. Tapi, untuk melakukan koneksi SSH melalui SOCKS Proxy kita membutuhkan bantuan program lain. Dalam hal ini yang sudah saya cobakan adalah nc dan connect, alternatif lain adalah connect-proxy, corkscrew tidak bisa digunakan karena belum/tidak mendukung SOCKS Proxy, hanya HTTP(s) Proxy.

$ ssh -o “ProxyCommand /usr/bin/nc -x localhost:4321 %h %p” -l user hostB

atau jika menggunakan program connect:

$ ssh -o “ProxyCommand /usr/bin/connect -S localhost:4321 %h %p” -l user hostB

Selamat ber-SSH ria :D
.
Referensi:

• Koneksi SSH melalui SOCKS Proxy : http://back2arie.wordpress.com/2011/03/20/koneksi-ssh-melalui-socks-proxy/
  
• Menggunakan nc: http://blog.gidley.co.uk/2009/03/tunnelling-ssh-over-socks-proxy.html
• Menggunakan connect: http://www.bartbusschots.ie/blog/?p=184
• Menggunakan connect-proxy: http://blog.paulbetts.org/index.php/2008/04/08/getting-ssh-to-connect-through-a-socks-proxy/