Настройка на FileZilla Server – накратко и в детайли

FTP е съкращение от File Transfer Protocol (протокол за обмен на файлове) и се използва за обмен на файлове между компютри в мрежа. Първата част на статията ще покаже как бързо да настроим прост домашен FTP сървър използвайки FileZilla Server. Така ще можем да споделяме файлове от домашния компютър с други компютри в Интернет. Например вместо да пращаме снимките от морето по пощата, по ICQ или по Skype на всички приятели или да си играем да ги качваме в on-line албуми, с помощта на един FTP сървър можем просто да предоставим папката ни със снимки на приятелите (защитена с парола разбира се). Във втората част на статията се разглеждат някои по-специфични настройки и детайли около програмата и FTP протокола, които може да са интересни на по-запознатите.

Начало

Преди да започнем трябва да сме сигурни, че интернет доставчика ни предоставя реален IP адрес – т.е. адрес уникален за нашия компютър и достъпен от другите компютри в интернет. Вече повечето доставчици предлагат услугата безплатно или срещу малка сума, но ако не разполагаме с реален IP адрес, към сървъра няма да могат да се свързват други потребители от интернет.

Програмата е безплатна и може да бъде изтеглена оттук: FileZilla Server или от официалната страница на проекта: http://sourceforge.net/project/showfiles.php?group_id=21558. Версията на сървъра, която съм използвал при писането на статията е 0.9.23 от 27. февруари 2007 г.

Инсталация

По време на инсталацията няма особено ключови моменти, така че няма да отделям специално внимание. Единственото, което трябва да имате в предвид е когато инсталатора пита дали сървъра да се пуска при стартирането на Windows. Това зависи от вашите предпочитания.

Веднага след инсталацията ще се появи този прозорец:

Това е прозореца за свързване с администраторския интерфейс. Тъй като самият FTP сървър е само един процес, който върви постоянно, докато е активен сървъра, се използва допълнителен процес за извършване на настройки и това е именно администраторския интерфейс. Сложете отметката на Always connect to the server и дайте ОК. Настройките на администраторския интерфейс ще разгледаме по-късно.

Основен изглед

Основният прозорец на администраторския интерфейс би трябвало да изглежда така:

Ще опиша накратко различните части на интерфейса.

1. (Server -> Active) - с този бутон можете да активирате и деактивирате сървъра. Когато сървъра е деактивиран, той не е достъпен по мрежата.
   
2. (Server -> Lock) – служи за заключване и отключване на сървъра. Когато е заключен, сървърът няма да позволява с него да се свързват нови потребители.
   
3. (Edit -> Settings) – общи настройки на сървъра. Ще ги разгледаме по-надолу в статията.
   
4. (Edit -> Users) – настройки на потребителите.
   
5. (Edit -> Groups) – настройки на групите.
   
6. (Help -> About) – за програмата.
   
7. Заедно с 8. определят как да изглеждат пътищата към файловете и директориите. Ако е отбелязано 7, няма да се показва структурата на директориите по-нагоре от коренната за сървъра (примерно \Papka 1\).
   
8. Ако е отбелязано. ще излизат с пълния си път (примерно C:\FTP\Papka 1\).
   
9. Сортировка според която да бъдат подреждани свързалите се потребители.
   
10. В тази част се изписва информация за събитията възникващи на сървъра. Информацията е изключително детайлна и ни позволява да разберем когато някой потребител се свърже, отвори папка, изтегли, качи или изтрие файл, смени текущата директория и др.
    
11. Това е списък с потребителите, които са свързани в момента със сървъра
    
12. Тук можете да наблюдавате количеството и скоростта на качваните и сваляните в момента данни.
    

Основни настройки

Сървърът вече работи. Сега трябва да създадем потребители, да им зададем пароли и да определим кой до кои папки ще има достъп и с какви права ще разполага. За целта от Edit -> Users отваряме прозореца за настройка на потребителите, който изглежда така:

Натискаме копчето Add и въвеждаме името на потребителя (примерно test). Полето за група на потребителя засега ще оставим празно. По-нататък в статията е обяснено как се работи с групи и за какво служат те. Така вече сме създали потребител. Когато го изберем от списъка Users (като го натиснем с мишката), в частта Account settings можем да настроим дали е активен или не (Enable user – ако е отметнато значи е активен). Като сложим отметката на полето Password може да зададем паролата за съответния потребител. Добре е всеки потребител да има парола, за да се намали възможността в сървъра да влезе нежелан гост. След като вече имаме създаден потребител трябва да зададем кои папки от нашия компютър ще има право да вижда той. От списъка в ляво избираме Shared folders:

Избираме потребителя, за когото искаме да организираме папките и натискаме бутона Add (този който е в секцията Shared folders) и избираме папка от хард диска – примерно C:\FTP. На хард диска може да определим една папка - примерно FTP, където да държим всички файлове, които искаме да са достъпни отвън или просто, когато някой ни поиска някой филм например, да му предоставим на момента съответната папка и той да си го изтегли. След като вече сме предоставили папки на някой потребител, трябва да кажем с какви права ще разполага той върху тях. Когато изберем някоя папка се активират секциите Files и Directories:

От съображения за сигурност правата по подразбиране са само за четене на файлове (изтегляне и отваряне) – Read, за разглеждане на съдържанието на директорията (List) и за влизане в поддиректориите (+ Subdirs). Права за качване на файлове (Write), триене (Delete) и добавяне на съдържание към файл (Append) както и за създаване (Create) и изтриване (Delete) на директории трябва да се зададат изрично като се отметнат съответните полета. Важно е и да се определи коя е началната директория на даден потребител – тази която ще се отвори първоначално, когато той влезе в сървъра. Това става с копчето Set as home dir и до съответната директория в списъка се появява символа H.

Тестване на сървъра

Вече имаме прост, напълно функциониращ FTP сървър. Нека го изпробваме. За целта ни е необходим FTP клиент (тук можете да намерите богат списък с такива клиенти http://www.kaldata.com/modules.php?modid=1...=cat&id=37). Може да се използва и Windows Explorer или някой браузър. В полето за адрес напишете ftp://localhost/. В появилия се прозорец трябва да бъдат въведени потребителското име и паролата, които създадохме по-горе в статията и готово – вече виждаме съдържанието на началната папка за този потребител. Този адрес на сървъра ще работи само на компютъра, на който е инсталиран самия сървър. За да бъде достъпен от други компютри трябва да използвате IP адреса си. Ако не го знаете можете лесно да го проверите на http://whatismyip.com. Ако опитвате да се свържете със сървъра не през специален клиент, а през браузър или през Windows Explorer трябва отпред пред IP адреса да се добави ftp:// (примерно така ftp://85.123.234.100). Възможно е все още сървърът да не е достъпен през Интернет, ако има защитна стена, която да го блокира. В такъв случай трябва да се укаже стената да не блокира този процес (FileZilla server). За вградената защитна стена в Windows XP SP2 това става по следния начин: Start -> Control Panel -> Windows Firewall -> Exceptions -> Add Program и от копчето Browse намирате къде е инсталирана програмата и избирате FileZilla server. Ако искате да ограничите достъпа до сървъра по портове по-добре прочетете надолу в статията за активен и пасивен режим на сървъра, където е обяснено по-подробно как да стане това.

И така вече знаем всичко необходимо за основните настройки на един прост сървър. Те са напълно достатъчни за нуждите на повечето потребители. Надолу в статията се разглеждат някои други аспекти на FTP протокола и възможности за по-фина настройка на сървъра.

Допълнителни настройки за потребителите

При добавянето на потребителите пропуснахме да коментираме част от настройките. На основната страница (General) може да зададем ограничение за броя на връзките, които един потребител може да има със сървъра (Maximum connectio count) , както и броя на връзките на даден потребител от един и същ IP адрес (Connection limit per IP). Използването на тези опции е подходящо, когато искаме да ограничим броя на връзките от определен акаунт, който се използва от много хора, за да избегнем претоварване на сървъра. Опцията Bypass user limit of server прави общо взето обратното – ако от опциите на сървъра имаме зададен лимит на общия брой връзки, чрез тази опция можем да дадем правото на неограничен брой за даден потребител – примерно за администраторски потребител, за който знаем, че само ние ще използваме и няма да злоупотребим.

В страницата Speed limits имаме възможност да зададем ограничения на скоростите на качване и сваляне за дадения потребител. Тук отново има опция Bypass server speed limits, която отново можем да използваме за да дадем неограничени скорости на администраторски потребител, ако от общите настройки сме задали някакви ограничения. Интересна е възможността да зададем правила, по които да се определя ограничението на скоростта (Use speed limit rules) – можем да нагласим различни скорости за определена дата, часови интервал или ден от седмицата. Примерно можем да сложим големи скорости събота и неделя и през делничните дни през нощта, а през другото време, когато ползваме активно компютъра да има ограничение, за да не забавя работата ни.

От страницата IP filter можем забраним определени IP адреси или групи от IP адреси да се свързват със сървъра, използвайки съответния потребител (от горния списък). От долния списък можем да дадем изрично разрешение на някой IP адрес или група да имат достъп до сървъра Примерно ако искаме само два адреса да имат достъп чрез този потребител, може да напишем в горния списък *, което ще блокира всички адреси, а в долния да напишем двата, които искаме да разрешим.

Анонимен режим

FTP клиентите имат възможност да се свързват със сървъра в така наречения анонимен режим. При този режим не се изисква потребителско име и парола и обикновено в този режим правата са ограничени. Разбира се не е задължително всеки FTP сървър да има такъв режим - това го решава администратора. За да може клиентите, които се свързват с нашия сървър да използват този режим е нужно само да създадете потребител с име anonymous и без парола. Когато някой се свърже със сървъра без да е задал потребителско име и парола, автоматично ще бъде регистриран с този потребител.

Използване на групи

Прозорецът с настройки за групи е почти същия като този за потребители. По същия начин се добавят групи, определят се папки за достъп със съответните права, задават се филтри за адреси, скорости и брой връзки. Целта на групата е да зададем предварително някакъв набор от правила. След това можем да укажем, че даден потребител е член на някоя група (от General -> Group Membership) и всички правила на групата автоматично ще започнат да важат и за съответния потребител. Това е голямо удобство при много потребители със сходни настройки.

Общи настройки на сървъра

В прозореца за настройки на сървъра (Edit -> Settings) на страницата General settings се намират основни настройки за сървъра. Чрез полето Listen on these ports можем да настроим на кои портове да слуша сървъра за връзки. Стандартният порт за FTP протокола е 21 и по принцип няма нужда да бъде променян освен в особени случаи. Освен на 21-ви порт сървъра работи и на още няколко порта, за които е написано в частта за активен и пасивен режим. От този прозорец се задава и максималния брой потребители (Max. number of users). Number of Threads задава броя на нишките на процеса. Колкото повече са те, толкова повече ресурси ще заема процеса и толкова по-лесно и по-бързо ще работи, ако сървърът е много натоварен. Ако не е няма нужда числото да бъде променяно.

Секцията Timeout settings е важна – оттам се задава колко време да изчаква сървъра за различни действия. Хубаво е да има лимит за no transfer timeout за да не стоят отворени връзки, когато някои е пропуснал да затвори сесията и просто е оставил компютъра включен и програмата пусната. Ако това се случи в компютърен клуб може някой лесно да се възползва от оставената отворена връзка. Login timout е времето, за което трябва да бъдат въведени името и паролата на потребителя и връзката да бъде осъществена. Connections timout е времето, след което една връзка се затваря. Аз предпочитам да не слагам такъв лимит, защото когато някой пусне да се тегли голям файл и след като изтеглянето свърши иска да направи още нещо трябва да се създаде връзката отново, което е неудобство (свалянето на файла няма да бъде прекратено). No Transfer timout би трябвало да е достатъчно за да предотврати опасността от оставена отворена програма, но все пак всеки си решава за себе си.

В страницата Welcome message може да се зададе съобщени, което да се показва на потребителите, когато се свържат със сървъра

От страниците IP Bindings и IP Filter по начин аналогичен на този при филтъра на потребителите може да се задава разрешение или забрана за достъп на различни IP адреси до сървъра.

На страницата Speed Limits отново както при потребителите можете да настроите ограничения на скоростите за целия сървър (т.е. ще важат за всички потребители, за които не е избрано Bypass server speed limits).

Страницата Filetransfer compression дава интересната възможност преди да започне трансфера на данни, те да бъдат компресирани и след като приключи обратно декомпресирани. Ако е включена тази опция е възможно трафикът на данни да намалее за сметка на натоварването на процесора. Предвидена е възможност за указване на това към кои IP адреси да бъде прилагана тази опция, защото примерно при трансфер в локална мрежа използването на компресия само ще натовари процесора. Трябва да се внимава с тази опция, защото файлове като mp3, avi и jpg обикновено не се поддават на компресия и може само да затрудним работата на сървъра без да има реална полза.

Настройки за сигурността на сървъра

За по-голям и активно използван сървър сигурността е много важна. Настройките по подразбиране осигуряват добра степен на защита за по-малък сървър, но при по-голям може да се наложи да се направят още настройки.

На страницата Security settings може да се укаже да бъдат блокирани трансфери от тип сървър-сървър. Те се използват главно за преточване на големи количества информация между два FTP сървъра (обикновено за сървъри с нелегално съдържание). Хубаво е да са поставени отметките на Block incoming/outgoing server to server connections. Защитата се състои в това да не позволява трансфер, ако адреса, от който е дошла заявката за трансфер е различен от адреса, където ще бъдат прехвърлени данните. Ако не е отметнато полето Strict IP филтър се гледат само първите 3 части на IP адреса, което в известна степен намалява защитата от такъв тип трансфери, но позволява на потребители зад proxy сървъри, които променят адресите да използват сървъра, така че ако не е необходимо нещо друго е по-добре настройките да останат така.

От страницата Logging може да се активира използването на log файл, в който да се записват всички събития на сървъра – какво е станало, кога и кой го е предизвикал. Може да послужи за откриване на недоброжелателни действия. По принцип опцията е изключена, но при голямо използване на сървъра е препоръчително да се включи.

Страницата SSL/TLS settings дава възможност за използване на Secure Socet Layer технологията за допълнителна защита на данните.

На страницата Autoban е хубаво да се настроят условията, при които на даден IP адрес му се забранява достъп до сървъра. Примерно ако някой въведе 5 поредни пъти грешно име и/или парола да се забрани достъпа му до сървъра за 1 час. Това ще предотврати възможността за brute force атаки, когато чрез програма се изпробват множество пароли една след друга, докато бъде позната истинската. Опцията по подразбиране е изключена.

GSS Settings дава възможност за специален вид защита (Kerebros), който обаче изисква специален клиент и не е широко разпространена, така че няма нужда да я включвате, освен ако изрично не искате да я използвате.

Активен и пасивен режим и настройка на защитна стена

FTP сървърите и клиентите могат да използват два режима на връзка: активен и пасивен. При активен режим клиента подава заявка за установяване на TCP сесия от произволен порт (нека го кръстим N) към порт 21 на сървъра – това е така наречената командна връзка – по нея сървъра и клиента само си разменят команди и съответните отговори, но не и данни. След това ако връзката е установена и възникне трансфер, FTP сървъра изпраща заявка за втора TCP сесия (връзка, по която ще текат данни) от порт 20 към порт N+1 на клиента. Това може да е проблем за клиенти, които са зад защитна стена или не са достъпни директно, защото сървъра няма да може да осъществи връзката. В такъв случай клиента използва пасивен режим. При него отново клиента подава заявка към порт 21 на сървъра. След това обаче по командната линия сървъра казва на клиента да установи връзката за данни на някой негов порт (по-голям от 1023, примерно P). Тогава клиента подава заявка към сървъра за връзка за данни от своя порт N+1 към порт P на сървъра.

В страницата Passive mode settings може да се укаже на кои портове сървъра да очаква заявка за връзка за данни (Use custom port range). Числото P от горния пример ще е между тези две числа. Това ни позволява да настроим по-добре защитната стена, а не да оставяме всички портове отворени. Нужни са портовете 21, 20 и тези, които сме задали за пасивен трансфер (разбира се ако не сме задали изрично сървъра да работи на друг порт, а не на 21). Също така оттук можем и да направим настройки за сървъри, които са зад NAT рутер или с динамичен IP адрес.

Администраторски интерфейс

По подразбиране администраторският интерфейс е достъпен само от компютъра, на който е инсталиран сървъра. Има възможност да укажем това да може да става и от други компютри с цел да администрираме сървъра отдалеч. За целта трябва да определим на кой порт да става връзката, от кои IP адреси и да зададем парола.

Заключение

Възможностите на FileZilla Server ни позволяват да го ползваме както за най-прост домашен сървър, така и за по-сложен и натоварен. Работата с програмата е лесна и удобна. Разпространява се безплатно и е изключително лека.

Редактирано 29 ноември 200718 г. от kal (преглед на промените)

Не разбирам много но споменатия сървър за вътрешна мрежа с споделяне на интернет става ли и с какви изисквания минимални трябва да е компютара?

Всичко е направено както е описано, дадения акаунт се свързва към мен без проблем - НО само когато изключа защитната стена (в случая на KIS 7). Дори като пусна вградената защитната стена на Windows'a ефекта е същия-няма връзка! Кажете какви настройки трябва да направя по програмата или стените защото останах без защитна стена

Всичко е направено както е описано, дадения акаунт се свързва към мен без проблем - НО само когато изключа защитната стена (в случая на KIS 7). Дори като пусна вградената защитната стена на Windows'a ефекта е същия-няма връзка! Кажете какви настройки трябва да направя по програмата или стените защото останах без защитна стена

махни я тая KIS и си останли само с Windows Firewall. относно настройките, трябва да exeptions да позволиш слушане по порт 21, или като добавиш програмата която слуша в случая Filezilla, или като отпушиш порта с add port, tcp: 21. ако си зад рутер или NAT трябва да ти е настроен Trigger port или a.k.a ALG

Редактирано 19 август 200718 г. от altoas (преглед на промените)