Firewall FTP Support <firewallSupport>
Panoramica
L'elemento <system.ftpServer/firewallSupport>
viene usato per configurare l'intervallo di porte che il servizio FTP userà per l'attività del canale dati quando si utilizza il comando PASV FTP per negoziare le connessioni passive, che contiene l'indirizzo IP e la porta del server.
Quando le connessioni passive vengono negoziate tramite il comando FTP PASV, il server FTP invia una risposta che contiene l'indirizzo IP e la porta del server. Specificando gli lowDataChannelPort
attributi e highDataChannelPort
, è possibile indirizzare i client FTP a comunicare con il firewall, che deve instradare il traffico client al server FTP.
L'intervallo valido per le porte TCP/IP è compreso tra 1025 e 65535. Le porte da 1 a 1024 sono riservate per l'uso da parte dei servizi di sistema. È possibile immettere un intervallo di porte speciale "0-0" per configurare il server FTP per l'uso dell'intervallo di porte temporanee TCP/IP di Windows. Nelle versioni precedenti di Windows, l'intervallo di porte temporanee TCP/IP è stato impostato per l'uso delle porte da 1025 a 5000. A partire da Windows Vista e Windows Server 2008, l'intervallo di porte temporanee TCP/IP è stato modificato in 49152 a 65535. Per altre informazioni sull'intervallo di porte temporanee, vedere l'articolo seguente nella Microsoft Knowledge Base:
Nota
È possibile usare per <ftpServer/firewallSupport>
configurare l'indirizzo IP esterno per sito per il firewall. In questo modo è possibile instradare il traffico del firewall per ogni sito attraverso un firewall diverso.
Compatibilità
Versione | Note |
---|---|
IIS 10.0 | L'elemento <firewallSupport> non è stato modificato in IIS 10.0. |
IIS 8,5 | L'elemento <firewallSupport> non è stato modificato in IIS 8.5. |
IIS 8,0 | L'elemento <firewallSupport> non è stato modificato in IIS 8.0. |
IIS 7,5 | L'elemento <firewallSupport> dell'elemento <system.ftpServer> viene fornito come funzionalità di IIS 7.5. |
IIS 7.0 | L'elemento <firewallSupport> dell'elemento <system.ftpServer> è stato introdotto in FTP 7.0, che era un download separato per IIS 7.0. |
IIS 6.0 | L'elemento <firewallSupport> sostituisce la proprietà metabase MSFTPSVC/PassivePortRange di IIS 6.0. |
Nota
I servizi FTP 7.0 e FTP 7.5 forniti fuori banda per IIS 7.0, che richiedevano il download e l'installazione dei moduli dall'URL seguente:
Con Windows 7 e Windows Server 2008 R2, il servizio FTP 7.5 viene fornito come funzionalità per IIS 7.5, quindi il download del servizio FTP non è più necessario.
Installazione
Per supportare la pubblicazione FTP per il server Web, è necessario installare il servizio FTP. A tale scopo, seguire questa procedura.
Windows Server 2012 o Windows Server 2012 R2
Sulla barra delle applicazioni fare clic su Server Manager.
In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.
Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.
Nella pagina Ruoli server espandere Server Web (IIS) e quindi selezionare Server FTP.
Nota
Per supportare ASP. Autenticazione di appartenenza o autenticazione di Gestione IIS per il servizio FTP, sarà necessario selezionare Estendibilità FTP, oltre al servizio FTP.
.
Fare clic su Avanti e quindi nella pagina Seleziona funzionalità fare di nuovo clic su Avanti .
Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
Nella pagina Risultati fare clic su Chiudi.
Windows 8 o Windows 8.1
Nella schermata Start spostare il puntatore fino all'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi scegliere Pannello di controllo.
In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
Espandere Internet Information Services e quindi selezionare Server FTP.
Nota
Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
Fare clic su OK.
Fare clic su Close.
Windows Server 2008 R2
Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Server Manager.
Nel riquadro della gerarchia Server Manager espandere Ruoli, quindi fare clic su Server Web (IIS).
Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.
Nella pagina Selezione servizi ruolo della Procedura guidata Aggiungi servizi ruolo espandere Server FTP.
Selezionare Servizio FTP.
Nota
Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
Fare clic su Avanti.
Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
Nella pagina Risultati fare clic su Chiudi.
Windows 7
Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
Espandere Internet Information Services e quindi server FTP.
Selezionare Servizio FTP.
Nota
Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
Fare clic su OK.
Windows Server 2008 o Windows Vista
Scaricare il pacchetto di installazione dall'URL seguente:
Seguire le istruzioni riportate nella procedura dettagliata seguente per installare il servizio FTP:
Procedure
Come configurare le impostazioni del firewall globale per il servizio FTP
Aprire Gestione Internet Information Services (IIS):
Se si usa Windows Server 2012 o Windows Server 2012 R2:
- Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).
Se si usa Windows 8 o Windows 8.1:
- Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
- Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).
Se si usa Windows Server 2008 o Windows Server 2008 R2:
- Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).
Se si usa Windows Vista o Windows 7:
- Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
- Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).
Nel riquadro Connessioni fare clic sul nome del server.
Nel riquadro Home fare doppio clic sulla funzionalità Supporto firewall FTP .
Nella casella Intervallo porta canale dati usare una delle opzioni seguenti per immettere un intervallo di porte per le connessioni del canale dati passivo:
- Usare [porta bassa]-[porta alta] per un intervallo di porte, in cui ogni porta deve essere compresa tra 1025 e 65535. Ad esempio, 5000-6000.
- Usare "0-0" per configurare il server FTP per usare l'intervallo di porte temporaneo/IP di Windows.
Nella casella Indirizzo IP esterno del firewall digitare l'indirizzo IPv4 della scheda di rete con connessione Internet del firewall.
Nel riquadro Azioni fare clic su Applica.
Per altre informazioni su come configurare le impostazioni del firewall per il servizio FTP, vedere l'argomento seguente nel sito Web di Microsoft IIS.net:
Configurazione delle impostazioni del firewall FTP
https://www.iis.net/learn/publish/using-the-ftp-service/configuring-ftp-firewall-settings-in-iis-7
Configurazione
L'elemento <firewallSupport>
è configurato a livello globale in ApplicationHost.config.
Attributi
Attributo | Descrizione |
---|---|
lowDataChannelPort |
Attributo facoltativo int. Specifica la porta più bassa per l'attività del canale dati per le connessioni dati passive. Il valore predefinito è 0 . |
highDataChannelPort |
Attributo facoltativo int. Specifica la porta più bassa per l'attività del canale dati per le connessioni dati passive. Il valore predefinito è 0 . |
Elementi figlio
Nessuno.
Esempio di configurazione
Nell'esempio seguente vengono illustrate diverse impostazioni di configurazione nell'elemento globale <system.ftpServer>
per un server. In particolare, le impostazioni in questo esempio illustrano come:
Abilitare la memorizzazione nella cache delle credenziali FTP e specificare un timeout di 10 minuti (600 secondi).
Configurare la porta bassa come 5000 e la porta elevata come 6000 per le comunicazioni del canale dati.
Abilitare la registrazione e specificare che i file di log verranno mantenuti per sito e che i file di log verranno ruotati ogni giorno per ora UTC.
Specificare un provider FTP personalizzato e specificare un parametro personalizzato per tale provider.
Specificare restrizioni IP globali che consentono l'accesso FTP dall'host locale e negare l'accesso al blocco 169.254.0.0 a 169.254.255.255 di indirizzi IP.
Configurare il filtro delle richieste con le opzioni seguenti:
- Bloccare l'accesso FTP alla directory virtuale _vti_bin, usata con le estensioni del server FrontPage.
- Bloccare diversi tipi di file associati ai file eseguibili.
- Specificare 100 MB come dimensione massima del file.
Aggiungere una regola di autorizzazione globale che consente l'accesso per il gruppo administrators.
Specificare che la sintassi del nome di dominio può essere usata per i nomi host virtuali FTP.
<system.ftpServer>
<caching>
<credentialsCache enabled="true" flushInterval="600" />
</caching>
<firewallSupport lowDataChannelPort="5000" highDataChannelPort="6000" />
<log centralLogFileMode="Site">
<centralLogFile period="Daily" localTimeRollover="false" enabled="true" />
</log>
<providerDefinitions>
<add name="FtpXmlAuthentication"
type="FtpXmlAuthentication, FtpXmlAuthentication, version=1.0.0.0, Culture=neutral, PublicKeyToken=426f62526f636b73" />
<activation>
<providerData name="FtpXmlAuthentication">
<add key="xmlFileName" value="C:\Inetpub\XmlSample\Users.xml" />
</providerData>
</activation>
</providerDefinitions>
<security>
<ipSecurity enableReverseDns="false" allowUnlisted="true">
<add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
<add ipAddress="127.0.0.1" allowed="true" />
</ipSecurity>
<requestFiltering>
<hiddenSegments>
<add segment="_vti_bin" />
</hiddenSegments>
<fileExtensions allowUnlisted="true">
<add fileExtension="exe" allowed="false" />
<add fileExtension="cmd" allowed="false" />
<add fileExtension="com" allowed="false" />
<add fileExtension="bat" allowed="false" />
</fileExtensions>
<requestLimits maxAllowedContentLength="104857600" />
</requestFiltering>
<authorization>
<add accessType="Allow" roles="administrators" permissions="Read, Write" />
</authorization>
</security>
<serverRuntime>
<hostNameSupport useDomainNameAsHostName="true" />
</serverRuntime>
</system.ftpServer>
Codice di esempio
Gli esempi seguenti configurano il servizio FTP per usare l'intervallo di porte di 5000-6000 per l'attività del canale dati quando vengono usate connessioni passive.
AppCmd.exe
appcmd.exe set config -section:system.ftpServer/firewallSupport /lowDataChannelPort:"5000" /commit:apphost
appcmd.exe set config -section:system.ftpServer/firewallSupport /highDataChannelPort:"6000" /commit:apphost
Nota
È necessario assicurarsi di impostare il parametro commit su apphost
quando si usa AppCmd.exe per configurare queste impostazioni. Questa operazione esegue il commit delle impostazioni di configurazione nella sezione percorso appropriata nel file di ApplicationHost.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection logSection = config.GetSection("system.ftpServer/log");
logSection["centralLogFileMode"] = @"Central";
ConfigurationElement centralLogFileElement = logSection.GetChildElement("centralLogFile");
centralLogFileElement["enabled"] = true;
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim firewallSupportSection As ConfigurationSection = config.GetSection("system.ftpServer/firewallSupport")
firewallSupportSection("lowDataChannelPort") = 5000
firewallSupportSection("highDataChannelPort") = 6000
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var firewallSupportSection = adminManager.GetAdminSection("system.ftpServer/firewallSupport", "MACHINE/WEBROOT/APPHOST");
firewallSupportSection.Properties.Item("lowDataChannelPort").Value = 5000;
firewallSupportSection.Properties.Item("highDataChannelPort").Value = 6000;
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set firewallSupportSection = adminManager.GetAdminSection("system.ftpServer/firewallSupport", "MACHINE/WEBROOT/APPHOST")
firewallSupportSection.Properties.Item("lowDataChannelPort").Value = 5000
firewallSupportSection.Properties.Item("highDataChannelPort").Value = 6000
adminManager.CommitChanges()