제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study

21번 FTP 서비스포트를 이용하면 공격 타겟이 되고 사전공격 인증에서 시간이 지나게 되면 털리게 되는것이 지금의 보안문제입니다. IIS7.5 부터는 가상호스트 기능이 추가가 되어 ID 인증 방식이 아닌 가상사이트 도메인 인증방식으로 할수 있는 장점이 있으며 IIS8 버젼부터는 비정상적으로 로그인 시도를 할경우 IP를 차단하는 기능도 추가가 되었습니다.

"사용자

"사용자
정해진 수만큼 인증에 실패하면 FTP 소켓세션을 유지할수가 없고 차단이 되어버립니다. 그리고 인증시도도 이루어질수가 없으므로 보호를 할수가 있습니다. 기간을 많이 늘린만큼 더더욱 보호가 되겠지만 정말 실수로 인증 실패한 사용자들에게 치명타가 될수 있으니 적당히 기간을 조정해야 합니다.

"사용자
위기능이 생기고 난후부터 구지 포트를 변경하지 않더라도 21번 포트로 FTP사이트를 많이 생성할수가 있게 되었습니다. 물론 보안까지도 더욱 강화되었습니다.
혹시나 싶어서 한번 로그인 시도를 해볼려고 ID만 입력했더니 호스트정보 입력안했다고 바로 끊어버리더군요.
21번 취약한 서비스포트에 부담이 가는 현실이지만 이기능으로 인하여 안전한 FTP서버를 운영하게 되었습니다. 물론 외부 포트막고 VPN쓰면 되지라고 하면 할말없지만 모든 사람들에게 VPN계정을 만들어줘야 하며 그에대한 절차가 많아질수 있기 때문에 외부노출 FTP서버에 보안 및 기능개선에 한번 포스팅을 남겨봅니다.

2013/12/11 20:51 2013/12/11 20:51
Posted
Filed under Study
HTTP 코드

1xx - 정보 전달용
이 상태 코드는 임시 응답을 나타냅니다. 클라이언트가 정식 응답을 받으려면 하나 이상의 1xx 응답을 받을 준비가 되어 있어야 합니다.
a.. 100 - 계속 작업합니다.
b.. 101 - 프로토콜을 전환합니다.

2xx - 완료
상태 코드의 이러한 클래스는 서버가 클라이언트 요청을 받아들였음을 나타냅니다.

a.. 200 - 클라이언트 요청이 성공했습니다.
b.. 201 - 만들어졌습니다.
c.. 202 - 받아들여졌습니다.
d.. 203 - 권한이 없는 정보입니다.
e.. 204 - 내용이 없습니다.
f.. 205 - 내용을 다시 설정합니다.
g.. 206 - 일부 내용

3xx - 리디렉션
클라이언트 브라우저는 요청을 처리하기 위해 좀더 조치를 취해야 합니다. 예를 들어, 브라우저는 서버에서 다른 페이지를 요청해야 하거나 프록시 서버를 사용하여 요청을 반복해야 할 수 있습니다.
a.. 300 - 여러 선택
b.. 301 - 영구적으로 이동됩니다.
c.. 302 - 찾았습니다.
d.. 303 - 기타 참조
e.. 304 - 수정되지 않았습니다.
f.. 305 - 프록시를 사용합니다.
g.. 306 - 이 코드는 예약되었지만 사용되지 않습니다.
h.. 307 - 임시 리디렉션

4xx - 클라이언트 오류
오류가 발생하고 클라이언트에 문제가 있는 것으로 나타납니다. 예를들어, 클라이언트가 존재하지 않는 페이지를 요청하거나 올바른 인증 정보를 제공하지 않을 수도 있습니다.
a.. 400 - 요청이 잘못되었습니다.
b.. 401 - 액세스가 거부되었습니다. IIS는 오류의 원인을 보다 구체적으로 나타내는 여러 다른 401 오류를 정의합니다. 이러한 특정 오류 코드는 브라우저에 표시되지만 IIS 로그에는 표시되지 않습니다.
a.. 401.1 - 로그온하지 못했습니다.
b.. 401.2 - 서버 구성으로 인해 로그온하지 못했습니다.
c.. 401.3 - 리소스의 ACL에 의해 액세스가 거부되었습니다.
d.. 401.4 - 필터에 의해 권한을 부여하지 못했습니다.
e.. 401.5 - ISAPI/CGI 응용 프로그램에 의해 권한을 부여하지 못했습니다.
c.. 403 - 금지. IIS는 오류의 원인을 보다 구체적으로 나타내는 여러 다른 403 오류를 정의합니다.
a.. 403.1 - 실행 액세스 금지
b.. 403.2 - 읽기 액세스 금지
c.. 403.3 - 쓰기 액세스 금지
d.. 403.4 - SSL이 필요합니다.
e.. 403.5 - SSL 128이 필요합니다.
f.. 403.6 - IP 주소가 거부되었습니다.
g.. 403.7 - 클라이언트 인증서가 필요합니다.
h.. 403.8 - 사이트 액세스가 거부되었습니다.
i.. 403.9 - 사용자가 너무 많습니다.
j.. 403.10 - 구성이 올바르지 않습니다.
k.. 403.11 - 암호 변경
l.. 403.12 - 매퍼가 액세스를 거부했습니다.
m.. 403.13 - 클라이언트 인증서를 취소했습니다.
n.. 403.14 - 디렉터리 목록이 거부되었습니다.
o.. 403.15 - 클라이언트 액세스 라이센스가 초과되었습니다.
p.. 403.16 - 클라이언트 인증서가 신뢰되지 않거나 잘못되었습니다.
q.. 403.17 - 클라이언트 인증서가 만료되었거나 아직 유효하지 않습니다.
d.. 404 - 찾을 수 없습니다.
e.. 404.1 - 사이트를 찾을 수 없습니다.
f.. 405 - 메서드를 허용할 수 없습니다.
g.. 406 - 받아들일 수 없습니다.
h.. 407 - 프록시 인증이 필요합니다.
i.. 412 - 전제 조건이 실패했습니다.
j.. 414 - 요청 URI가 너무 깁니다.

5xx - 서버 오류
서버에 오류가 발생하여 요청을 완료할 수 없습니다.
a.. 500 - 내부 서버 오류
b.. 500.12 - 응용 프로그램 다시 시작
c.. 500.13 - 서버 사용량이 많습니다.
d.. 500.15 - GLOBAL.ASA의 요청을 허용할 수 없습니다.
e.. 500-100.ASP - ASP 오류(이 코드는 IIS 5.0에서만 발생함)
f.. 501 - 구현되지 않았습니다.
g.. 502 - 불량 게이트웨이
h.. 503 - 서비스를 사용할 수 없습니다.
i.. 504 - 게이트웨이가 시간을 초과했습니다.
j.. 505 - HTTP 버전이 지원되지 않습니다. 일반 HTTP 상태 코드와 그 원인
a.. 200 - 성공했습니다. 이 상태 코드는 IIS가 요청을 성공적으로 처리했음을 나타냅니다.
b.. 304 - 수정되지 않았습니다. 클라이언트가 이미 해당 캐시에있는 문서를 요청하고 이 문서는 캐시된 이후로 수정되지 않았습니다.
클라이언트가 서버에서 문서를 다운로드하는 대신 문서의 캐시된 복사본을 사용합니다.
c.. 401.1 - 로그온하지 못했습니다. 올바르지 않은 사용자 이름이나 암호로 인해 로그온 시도가 실패했습니다.
d.. 401.3 - 리소스의 ACL에 의해 액세스가 거부되었습니다. 이것은 NTFS 사용 권한에 문제가 있음을 나타냅니다. 이 오류는 액세스하려는 파일의 사용 권한이 올바른 경우에도 발생할 수 있습니다. 예를 들어, IUSR 계정에 C:\Winnt\System32\Inetsrv 디렉터리에 대한 액세스 권한이 없는 경우 이 오류가 나타납니다. 이 문제의 해결 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
187506 IIS 사이트의 작동에 필요한 NTFS 권한 목록

e.. 403.1 - 실행 액세스 금지. 이 오류 메시지의 두 가지 일반적인 원인은 다음과 같습니다.
a.. 실행 권한이 부족합니다. 예를 들어, 사용 권한이 없음으로 설정되는 디렉터리에서 ASP 페이지에 액세스하려고 하거나 디렉터리에서 스크립트 권한으로 CGI(Common Gateway Interface) 스크립트를 실행하려고 하는 경우 이 오류 메시지가 나타납니다. 실행 권한을 수정하려면 MMC(Microsoft ManagementConsole)에서 해당 디렉터리를 마우스 오른쪽 단추로 누르고 등록 정보를 누른 다음 디렉터리 탭을 누르고 실행 권한 설정이 액세스하려는 콘텐트에 적절한지확인합니다.
b.. 실행하려는 파일 형식에 대한 스크립트 매핑은 사용 중인 동사(예: GET 또는 POST)를 인식하도록 설정되지 않습니다. 이 작업을 확인하려면 MMC에서 디렉터리를 마우스 오른쪽 단추로 누르고 등록 정보를 누른 다음 디렉터리 탭에서 구성을 누르고 해당 파일 형식에 대한 스크립트 매핑이 사용중인 동사를 허용하도록 설정되었는지 확인합니다.
f.. 403.2 - 읽기 액세스 금지. IIS가 디렉터리에 대한 읽기액세스 권한을 허용하도록 설정되었는지 확인합니다. 또한 기본 문서를 사용하려면 이 문서가 있는지 확인합니다. 이 문제의 해결 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
247677 오류 메시지: 403.2 Forbidden: Read Access Forbidden

g.. 403.3 - 쓰기 액세스 금지. IIS 사용 권한 및 NTFS 사용 권한이 디렉터리에 대한 쓰기 액세스 권한을 부여하도록 설정되었는지 확인합니다.이 문제의 해결 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
248072 오류 메시지: 403.3 Forbidden: Write Access Forbidden

h.. 403.4 - SSL이 필요합니다. 보안 채널 필요 옵션을 해제하거나 HTTP 대신 HTTPS를 사용하여 페이지에 액세스합니다. 인증서가 설치되어 있지 않은 웹 사이트에 대해 이 오류가 나타나면 Microsoft 기술 자료의 다음 문서를 참조하십시오.
224389 오류 메시지: HTTP Error 403, 403.4, 403.5 Forbidden: SSL Required

i.. 403.5 - SSL 128이 필요합니다. 128비트 암호화 필요 옵션을 해제하거나 128비트 암호화를 지원하는 브라우저를 사용하여 페이지를 봅니다. 인증서가 설치되어 있지 않은 웹 사이트에 대해 이 오류가 나타나면 Microsoft 기술 자료의 다음 문서를 참조하십시오.
224389 오류 메시지: HTTP Error 403, 403.4, 403.5 Forbidden: SSL Required

j.. 403.6 - IP 주소가 거부되었습니다. 현재 IP 주소에 대한 액세스가 거부되도록 서버가 구성되었습니다. 이 문제의 해결 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
248043 오류 메시지: 403.6 - 금지: IP 주소 거부

k.. 403.7 - 클라이언트 인증서가 필요합니다. 서버가 클라이언트 인증의 인증서를 요구하도록 구성되었지만 올바른 클라이언트 인증서가 설치되어 있지 않습니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
190004 Error 403.7 또는 $$Connection to Server Could Not Be Established$$

186812 PRB: 오류 메시지: 403.7 사용 금지: 클라이언트 인증서가 필요함

l.. 403.8 - 사이트 액세스가 거부되었습니다. 서버에 액세스하는 데 사용하는 도메인의 도메인 이름 제한이 설정되었습니다.이 문제의 해결 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
248032 오류 메시지: Forbidden: Site Access Denied 403.8

m.. 403.9 - 사용자가 너무 많습니다. 서버에 연결된 사용자 수가 설정되어 있는 연결 제한을 초과합니다. 이 제한을 변경하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
248074 오류 메시지: 액세스 금지: 연결된 사용자가 너무
많습니다. 403.9

참고: Microsoft Windows 2000 Professional 및 Microsoft Windows XP Pofessional에서 IIS는 연결이 10개로 자동 제한됩니다. 이 제한을 변경할 수 없습니다.
n.. 403.12 - 매퍼가 액세스를 거부했습니다. 액세스하려는 페이지에 클라이언트 인증서가 필요하지만 클라이언트 인증서에 매핑된 사용자 ID로는 파일에 액세스할 수 없습니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
248075 오류: HTTP 403.12 - Access Forbidden: Mapper Denied Access

o.. 404 - 찾을 수 없습니다. 이 오류는 액세스하려는 파일이 이동되거나 삭제된 경우에 발생합니다. URLScan 도구를 설치한 후 제한된 파일 확장명을 갖는 파일에 액세스하려고 하는 경우에도 발생합니다. 이 경우 로그 파일 항목에서 해당 요청에 대해 "Rejected by URLScan"이 나타납니다.
p.. 500 - 내부 서버 오류. 광범위한 서버쪽 오류에 대해 이 오류 메시지가 나타납니다. 이벤트 뷰어 로그에는 이 오류가 발생하는 이유에 대한 자세한 내용이 포함될 수 있습니다. 또한 HTTP 오류 메시지를 해제하여 오류에 대한 자세한 설명을 나타낼 수 있습니다. HTTP 오류 메시지를 해제하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
294807 HOWTO: 서버쪽에서 Internet Explorer 5 $$HTTP 오류 메시지 표시$$ 기능 해제

q.. 500.12 - 응용 프로그램 다시 시작. 이 동작은 IIS가 응용 프로그램을 다시 시작하고 있는 중에 ASP 페이지를 로드하려고 했음을 나타냅니다. 이 메시지는 페이지를 새로 고치면 사라집니다. 페이지를 새로 고쳐도 이 메시지가 나타나면 Global.asa 파일을 검색 중인 바이러스 백신 소프트웨어가 원인일 수 있습니다. 자세한 내용은 Microsoft 기술 자료의 다음
문서를 참조하십시오.
248013 오류 메시지: HTTP 오류 500-12 응용 프로그램 다시 시작

r.. 500-100.ASP - ASP 오류. 코드에 오류가 있는 ASP 페이지를 로드하려고 하면 이 오류 메시지가 나타납니다. 오류에 대한 좀더 구체적인 정보를 보려면 HTTP 오류 메시지를 해제합니다. 기본적으로 이 오류는 기본 웹 사이트에서만 사용할 수 있습니다.기본이 아닌 웹 사이트에서 이 오류를 보는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
261200 500-100.asp의 ASP 오류 메시지 대신 HTTP 500 오류 메시지가 나타난다

s.. 502 - 불량 게이트웨이. 유효한 HTTP 헤더 세트를 반환하지 않는 CGI 스크립트를 실행하려고 하면 이 오류 메시지가 나타납니다.


FTP 코드

1xx - 긍정적인 예비 회신

이 상태 코드는 동작이 시작되었지만 클라이언트가 새 명령을 계속 수행하기 전에 다른 회신을 기대한다는 것을 나타냅니다.
a.. 110 마커 회신을 다시 시작합니다.
b.. 120 nnn 분 내에 서비스 준비
c.. 125 데이터 연결이 이미 열려 있고 전송을 다시 시작합니다.
d.. 150 파일 상태에 문제가 없으며 지금 데이터 연결을 열려고 합니다.
2xx - 긍정적인 완료 회신

동작이 완료되었습니다. 클라이언트가 새 명령을 실행할 수 있습니다.
a.. 200 명령에 문제가 없습니다.
b.. 202 명령이 구현되지 않으며 이 사이트에 불필요합니다.
c.. 211 시스템 상태 또는 시스템 도움말 회신
d.. 212 디렉터리 상태
e.. 213 파일 상태
f.. 214 도움말 메시지
g.. 215 NAME 시스템 형식. 여기서 NAME은 지정된 번호(Assigned Numbers) 문서 목록의 공식 시스템 이름입니다.
h.. 220 새 사용자에게 서비스가 준비되었습니다.
i.. 221 서비스가 컨트롤 연결을 닫습니다. 필요한 경우 로그아웃됩니다.
j.. 225 데이터 연결을 열지만 전송하지 않습니다.
k.. 226 데이터 연결을 닫습니다. 요청된 파일 동작에 성공했습니다(예: 파일 전송 또는 파일 중단).
l.. 227 Passive 모드 입력(h1,h2,h3,h4,p1,p2)
m.. 230 사용자가 로그인하여 진행합니다.
n.. 250 요청된 파일 동작이 문제 없이 완료되었습니다.
o.. 257 "PATHNAME"이 만들어졌습니다.
3xx - 긍정적인 중간 회신

명령이 성공했지만 서버에는 요청을 처리하는 데 클라이언트의 추가 정보가 필요합니다.
a.. 331 사용자 이름에 문제가 없으며 암호가 필요합니다.
b.. 332 로그인을 위해 계정이 필요합니다.
c.. 350 좀더 자세한 정보를 보류 중인 요청된 파일 동작입니다.
4xx - 일시적인 부정적 완료 회신

명령이 성공하지 못했지만 오류는 일시적입니다. 클라이언트가 명령을 다시 시도하면 성공할 수도 있습니다.
a.. 421 서비스를 사용할 수 없으며 컨트롤 연결을 닫습니다. 이것은 서비스가 프로그램을 종료해야 함을 아는 경우 명령에 대한 응답이 될 수
있습니다.
b.. 425 데이터 연결을 열 수 없습니다.
c.. 426 연결이 닫히고 전송이 중단됩니다.
d.. 450 요청된 파일 동작이 수행되지 않았습니다. 파일을 사용할수 없습니다(예: 파일 사용 중).
e.. 451 요청된 동작이 중단되었습니다. 처리 중 로컬 오류가 발생했습니다.
f.. 452 요청된 동작이 수행되지 않았습니다. 시스템의 저장 공간이 부족합니다.
5xx - 영구적인 부정적 완료 회신

명령이 성공하지 못했으며 오류는 영구적입니다. 클라이언트가 명령을 다시 시도하면 같은 오류가 나타납니다.
a.. 500 구문 오류, 명령을 인식할 수 없습니다. 여기에는 명령줄이 너무 긴 경우와 같은 오류가 포함됩니다.
b.. 501 매개 변수 또는 인수의 구문 오류입니다.
c.. 502 명령이 구현되지 않았습니다.
d.. 503 명령 순서가 잘못되었습니다.
e.. 504 해당 매개 변수에 대해 명령이 구현되지 않았습니다.
f.. 530 로그인되지 않았습니다.
g.. 532 파일을 저장하는 데 계정이 필요합니다.
h.. 550 요청된 동작이 수행되지 않았습니다. 파일을 사용할 수 없습니다(예: 파일 없음. 액세스 못함)
i.. 551 요청된 동작이 중단되었습니다. 페이지 형식을 알 수 없습니다.
j.. 552 요청된 파일 동작이 중단되었습니다. 현재 디렉터리 또는 데이터 집합에 대해 저장소 할당이 초과되었습니다.
k.. 553 요청된 동작이 수행되지 않았습니다. 파일 이름을 허용할 수 없습니다.



일반 FTP 상태 코드와 그 원인

a.. 150 - FTP는 두 가지 포트를 사용합니다. 즉, 명령을 보내는 경우에는 21을, 데이터를 보내는 경우에는 20을 사용합니다. 상태 코드 150은 서버가 포트 20에서 새 연결을 열어 데이터를 보내려고 한다는 것을 나타냅니다.
b.. 226 - 이 명령은 포트 20에서 데이터 연결을 열어 파일 전송과 같은 동작을 수행합니다. 이 동작이 완료되고 데이터 연결이 닫힙니다.
c.. 230 - 이 상태 코드는 클라이언트가 올바른 암호를 보낸 후에 나타납니다. 사용자가 로그온되었음을 나타냅니다.
d.. 331 - 클라이언트가 사용자 이름을 보낸 후에 이 상태 코드가 나타납니다. 이 동일한 상태 코드는 제공된 사용자 이름이 시스템의 올바른 계정인지 여부에 관계 없이 나타납니다.
e.. 426 - 이 명령은 데이터 연결을 열어 동작을 수행하지만 이 동작이 취소되고 데이터 연결이 닫힙니다.
f.. 530 - 이 상태 코드는 사용자 이름과 암호 조합이 유효하지 않으므로 사용자가 로그온할 수 없음을 나타냅니다. 사용자 계정을 사용하여 로그온하는 경우 사용자 이름 또는 암호를 잘못 입력했거나 익명 액세스만 허용하도록 선택했을 수 있습니다. 익명 계정으로 로그온하는 경우 IIS가 익명 액세스를 거부하도록 구성되었을 수도 있습니다.
g.. 550 - 이 명령은 지정된 파일을 사용할 수 없으므로 실행되지 않습니다. 예를 들어, 이 상태 코드는 존재하지 않는 파일을 가져오려고(GET) 하거나 쓰기 액세스 권한이 없는 디렉터리에 파일을 두려고(PUT) 하는 경우에 발생합니다.

Microsoft 
http://support.microsoft.com/kb/318380
2009/12/17 00:55 2009/12/17 00:55
Posted
Filed under Study

Windows 2003 Server SP1 Firewall Modification for Passive or PASV FTP Connections

(Portions of this document are parphrased from or directly copied from Microsoft KB article 555022 by Bernard Cheah, MVP.)

Passive Mode FTP connections are normally required by clients connecting through a NAT firewall or router. The client connects on port 21 and issues a PASV command, the server responds with a port in the 1024-65535 range for the data connection. After a data connection command is issued by the client, the server connects to the client using the port immediately above the client-side port of the control connection. The Windows 2003 SP1 Firewall will prevent PASV FTP from working properly unless exceptions for the ports are created. A metabase property key named PassivePortRange can be configured to specify the port range the server will respond with. This can be used to limit the security risk for the FTP server. The property key only exists in IIS 6.0. Support for IIS 5.0 on Windows 2000 can be added, but the system administrator will need to install Service Pack 4 and add the PassivePortRange key in the system registry. Two ports must be opened for each concurrent FTP connection.

On Windows 2003 Server with IIS6
  • To Enable Direct Metabase Edit
    1. Open the IIS Microsoft Management Console (MMC).
    2. Right-click on the Local Computer node.
    3. Select Properties.
    4. Make sure the Enable Direct Metabase Edit checkbox is checked.
  • Configure PassivePortRange via ADSUTIL script
    1. Click Start, click Run, type cmd, and then click OK.
    2. Type cd Inetpub\AdminScripts and then press ENTER.
    3. Type the following command where the range is specified in "..". cscript.exe adsutil.vbs set /MSFTPSVC/PassivePortRange "5001-5201"
    4. Restart the FTP Publishing Service.
    You'll see the following output, when you configure via ADSUTIL script:

    Microsoft (R) Windows Script Host Version 5.6
    Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

    PassivePortRange : (STRING) "5001-5201"

  • Add each port to the Windows Firewall
    1. Click Start, click Control Panel, open Windows Firewall, and select the Exceptions tab.
    2. Click the Add Port button.
    3. Enter a Name for the Exception and the first number in the port range.
    4. Click TCP if not already selected and click OK.
    5. Repeat for each port in the range - for large ranges see the end of the document.
    6. Enable the Windows Firewall on the General Tab.

On Windows 2000 Server with IIS5 Configure PassivePortRange via Registry Editor
  1. Start Registry Editor (Regedt32.exe).
  2. Locate the following registry key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msftpsvc\Parameters\
  3. Add a value named "PassivePortRange" (without the quotation marks) of type REG_SZ.
  4. Close Registry Editor.
  5. Restart the FTP Publishing Service.
    Note: The range that FTP will validate is from 5001 to 65535.

To add a range of ports to Windows Firewall from the Command Line
  1. Click Start, click Run, type cmd, and then click OK.
  2. Type in the following where the range is specified in ( ) and the name of the firewall entry is in " ".
    FOR /L %I IN (5001,1,5201) DO netsh firewall add portopening TCP %I "Passive FTP"%I
  3. Each port in the range will be added with an "OK" confirmation.

위 포트범위는 많이 지정되었지만 필자는 5001-5005 정도만 사용하고있다 간간히 NAT와 겹치면서 사용한다면 50001-50005 정도 더 큰 범위를 사용한다. 대부분 1024에서 65535포트는 내부 세션을 임시로 열었다가 닫히는 임시 랜덤포트라서 겹치면 소켓통신에 장애가 발생하기 때문이다.

2000서버에서는 레지스트리 수정을 해주고 2003서버는 편하게 메타베이스 XML수정을 해주고 서비스 재시작을 해주면 적용이 된다.
2008서버 IIS7 역시도 메타베이스 수정으로 해결이 가능한데 필자는 IIS7에서는 단번에 안된걸로 기억한다. IIS7을 아예 죽이고 메모장을 관리자모드로 열고 수정하고 저장하고 서비스시작하니 되었던건데 좀 이상하긴 했었다. ㅎㅎ <---- 이건 IIS7의 IIS6 FTP를 사용할때여서 그렇다. FTP7 버젼은 다르다. 친절하게도 FTP PASSIVE 범위를 설정하는 옵션이 GUI로 나와서 특별하게 고민할게 없을듯 하다.
IIS7 FTP 설정 유의점 사이트 바로가기
 
FTP에서 PASSIVE를 사용해야 되는 이유?를 알고싶을것이다.
첫째, 비정규포트 21번이 아닌 다른 포트를 사용하겠다면 PASSIVE 포트를 설정해줘야 한다.
둘째, FTP서버가 NAT밑으로 구성되었다면 21번 포트를 사용한다고 해도 PASSIVE를 설정해줘야만 한다.

위 두가지를 항상 머리속에 넣어야 한다. 그렇지 않으면 방화벽 문제네 뭐 문제네 네책임 내책임 말들이 나올것이다.

2009/07/16 18:14 2009/07/16 18:14