Halaman

Selasa, 13 Mei 2014

FTP Passive Mode

Untuk kebutuhan normal, seperti umumnya FTP server, VSFTPD akan listen di port 21. Dan setelah semua settingan normal sudah dilakukan, FTP server sudah bisa diakses oleh sembarang FTP client tanpa masalah.
Akan tetapi, berbeda dg kebanyakan server2 lain seperti Email, Web, dll. yg dapat berjalan dg normal di belakang firewall menggunakan NAT, maka VSFTPD tidak dapat berjalan normal apabila ia berada di belakang firewall menggunakan NAT. Untuk ini harus ditambahkan setting pada file konfigurasi VSFTPD agar dapat berjalan pada passive mode, kemudian menyesuaikan setting NAT pada firewall. Caranya adalah dengan mengaktifkan mode passive mode di VSFTPD.
Sebagai contoh, penempatan sebuah FTP server yg diletakkan pada area DMZ di belakang firewall yg mana ia dapat diakses dari jaringan luar dan dalam, secara mendasar akan berbentuk sbb :
Internet (External)
||
||
Firewall ====== DMZ FTP Server
||
||
Internal (LAN)
Bila FTP Server dalam posisi DMZ seperti dalam gambar, maka agar FTP Server dapat diakses dari Internet maupun LAN, maka yg harus dilakukan sbb :
1. Aktifkan passive mode pada konfigurasi VSFTPD di server FTP
2. Setting port range tertentu untuk passive mode (mis : 50000-51000)
3. Tambahkan rule baru di firewall –> outbound/inbound ke/dari FTP Server dan port forwarding (NAT) ke FTP Server
Detailnya sbb :

Buka file /etc/vsftpd/vsftpd.conf, lalu tambahkan di bagian bawah:
# Aktifkan mode passive FTP
pasv_enable=YES
# Setting port range misalnya 50000 s/d 51000
pasv_max_port=51000
pasv_min_port=50000
# Aktifkan port range
port_enable=YES
Tambahkan rule baru di Firewall :
1. Pass Inbound rule to allow TCP 21 dari External to DMZ FTP Server
2. Pass Outbound rule to allow TCP 50000-51000 dari DMZ FTP Server to External
3. Pass Inbound rule to allow TCP 50000-51000 dari External to DMZ FTP Server
4. Pass Inbound rule to allow TCP 21 dari Internal LAN to DMZ FTP Server
5. Pass Outbound rule to allow TCP 50000-51000 dari DMZ FTP Server to Internal LAN
6. Pass Inbound rule to allow TCP 50000-51000 dari Internal LAN to DMZ FTP Server
Tambahkan port forwarding (NAT) di firewall :
1. External IP publik to DMZ FTP Server pada port 21
2. External IP publik to DMZ FTP Server pada port 50000-51000
3. Internal IP LAN to DMZ FTP Server pada port 21
4. Internal IP LAN to DMZ FTP Server pada port 50000-51000
Maka sekarang VSFTPD sudah dapat diakses dari Internet dg IP publik maupun dari LAN dg IP private menggunakan NAT. Contoh setting di atas adalah secara basic pada device firewall secara umum. Anda dapat merubah/menambah sesuai dg kebutuhan.

Sumber tulisan ini dari website : http://www.riyadikh.com/?p=683
Diposting oleh
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)