@Arnie schreef:
Ik stel ook een beetje mijn vragen bij de noodzaak om de porten 40000-42000 open te stellen. Is dat echt nodig? Voor welke applicatie? Het gebruik van VPN zou veiliger zijn, om jezelf met een firma-netwerk te verbinden.
Het programma waarvan sprake (WinSCP) is een FTP Client, zoals bijvoorbeeld Filezilla.
De Client connecteert met de FTP server via poort 21 (verbinding maken, TLS initialiseren, inloggen, mappenlijst ophalen, ...)
Dan stuurt de client een "PORT" command naar de server met een aantal (willekeurige) poorten waarop de dataconnecties gemaakt kunnen worden.
Als je dan grote transfers doet van veel (kleine) bestanden worden er meerdere poorten simultaan gebruikt. Maar gezien bij TCP een poort niet onmiddellijk opnieuw gebruikt kan worden na een connectie, worden er dus telkens nieuwe poorten gebruikt.
Indien de client niet wilt dat hier telkens willekeurige (random) poorten voor gebruikt worden, kan je in het programma een range van poorten instellen. Die poortrange mag niet te klein zijn, gezien je veel poorten nodig hebt voor een transfer van bijvoorbeeld veel kleine bestanden. Een goede range is bijvoorbeeld 50 poorten.
Filezilla geeft in zijn voorbeeld hieronder een range van 50000-50100 (poorten):
Network Configuration - FileZilla Wiki (filezilla-project.org)
Gezien de topic starter achter een Firewall zit, moet hij dus op zijn Firewall dezelfde portrange forwarden, als deze die gebruikt wordt door zijn FTP Client (WinSCP). Blijkbaar is dit dus ingesteld op 40000-42000 (2000 poorten). Dat is inderdaad heel veel, veiliger zou zijn om de range te beperken tot een 100-tal poortenn (40.000-40.100).
Dat kan de TS waarschijnlijk wel instellen in zijn FTP Client, zoniet moet hij inderdaad op zijn Telenet modem de hele range 40.000-40.2000) forwarden ...
@YannickC schreef:
Ik heb ook al eens in de firewall regels toegevoegd voor die poorten maar dat had ook geen effect, daarom dat ik wat in de war ben wat er nu net ingesteld moet worden.
De enige concrete info die ik gekregen heb is dat ik zeker moest checken: "of poort 21 (voor FTPS 2 way) outbound openstaat en de hele range tussen 40000-42000 inbound "
Dat kan je niet "checken" via canyouseemee.org etc ...
Want op die 2.000 poorten wordt niet "geluisterd", maar alleen op een 5-10 tal poorten uit die range (tijdens de FTP sessie) ...