Router mögül nem megy az FTP? A PASV mód beállítása, hogy végre működjön!

Képzelje el a helyzetet: van egy webszervere, egy hálózati meghajtója, vagy csak egyszerűen adatokat szeretne megosztani valakivel, és az FTP tűnik a legegyszerűbb megoldásnak. Beállítja otthon a gépén az FTP szervert, teszteli helyben, minden szuperül megy. Aztán megpróbálja elérni távolról, és puff: „Nem sikerült a csatlakozás”, „Timeout”, „A kapcsolódás megszakadt”. Ismerős? Ha igen, valószínűleg már találkozott az egyik legbosszantóbb hálózati problémával, aminek a gyökere legtöbbször a NAT (Network Address Translation) és az FTP passzív (PASV) módjának helytelen beállítása.

Ebben a cikkben részletesen bemutatjuk, miért nem működik az FTP router mögül, hogyan oldja meg ezt a passzív mód, és ami a legfontosabb: lépésről lépésre végigvezetjük, hogyan konfigurálja be helyesen az FTP szerverét, routerét és tűzfalát, hogy végre zökkenőmentesen működjön a fájlmegosztás. Ne csak a „miért”-et értse meg, hanem a „hogyan”-t is!

Az FTP Működésének Kulisszái: Aktív vs. Passzív Mód

Ahhoz, hogy megértsük a problémát és a megoldást, először is érdemes tisztában lennünk azzal, hogyan is működik az FTP protokoll. Az FTP (File Transfer Protocol) viszonylag régi, mégis elterjedt módja a fájlok hálózaton keresztüli továbbításának. Különlegessége abban rejlik, hogy nem egy, hanem két külön csatornát használ a kommunikációhoz:

• Vezérlő csatorna (Control Channel): Ez a csatorna általában a 21-es TCP porton működik (alapértelmezetten), és ezen keresztül történik a parancsok és válaszok cseréje a kliens és a szerver között. Ide tartozik például a bejelentkezés (felhasználónév, jelszó), a könyvtárlistázás kérése, vagy a fájlátvitel elindításának parancsa. Ez a csatorna a teljes munkamenet alatt nyitva marad.
• Adatcsatorna (Data Channel): Ez a csatorna a tényleges fájlátvitelre (fel- és letöltés) és a könyvtárlisták továbbítására szolgál. Az adatcsatorna létrehozásának módja az, ami a fejtörést okozza, és ami elvezeti minket az aktív és passzív módokhoz.

Aktív Mód (PORT)

Az FTP aktív módja volt az eredeti, „klasszikus” működési séma. Lássuk, hogyan zajlik:

1. A kliens csatlakozik a szerver 21-es (vezérlő) portjára.
2. A kliens elküldi a PORT parancsot a szervernek, megadva a saját IP-címét és egy véletlenszerű portszámot (pl. 40000), amin várja a bejövő adatkapcsolatot.
3. Amikor a szervernek adatot kell küldenie (pl. fájl vagy könyvtárlista), megpróbál csatlakozni a kliens által megadott IP-cím és port kombinációra.

És itt jön a probléma! Manapság szinte minden otthoni és irodai hálózat router mögött van, ami NAT-olást végez, és beépített tűzfallal rendelkezik. A router alapértelmezés szerint blokkolja a kívülről érkező, nem kért kapcsolatokat. Mivel az aktív módban a szerver próbál kezdeményezni egy kapcsolatot a kliens felé (a kliens által megadott véletlenszerű porton), a kliens routere/tűzfala ezt a bejövő kapcsolatot szinte mindig letiltja. Emiatt az adatátvitel sosem jön létre, és a kliens „Timeout” vagy hasonló hibával leáll.

Passzív Mód (PASV)

A passzív mód a problémára született, és ez a modern, tűzfal-barát megoldás. Itt a kapcsolat felépítésének irányultsága megfordul:

1. A kliens csatlakozik a szerver 21-es (vezérlő) portjára, és elküldi a PASV parancsot.
2. A szerver erre válaszul kinyit egy véletlenszerű, magas portszámú portot (pl. 50001) az adatátvitelhez, és elküldi ennek a portnak a számát (és a saját IP-címét) a kliensnek.
3. A kliens, miután megkapta a szervertől az adatátviteli port számát, kezdeményezi a kapcsolatot erre a szerver oldali portra.

Ez a kulcsfontosságú különbség! Mivel a kliens kezdeményezi a kapcsolatot, és a szerver csak „válaszol” rá, a routerek és tűzfalak általában engedélyezik ezt a kimenő kapcsolatot a kliens felől. A szerver oldalon természetesen nyitva kell lennie a PASV portnak. Ezért a passzív mód vált a de facto szabványá a modern FTP környezetekben.

A Passzív Mód Rejtélye: Miért Nem Működik Még Így Sem?

Akkor most gondolhatnánk, hogy ha a PASV mód a megoldás, miért vannak még mindig problémák? A válasz a hálózati címfordítás (NAT) bonyolultságában és az FTP szerverek alapértelmezett konfigurációiban rejlik.

Az „Internal IP” Probléma (NAT Traversal)

Ez a leggyakoribb ok. Ha az FTP szervere egy router mögött van, akkor a szervernek van egy belső, privát IP-címe (pl. 192.168.1.100). Amikor a kliens kéri a PASV módot, a szerver válaszol neki azzal, hogy „Oké, csatlakozz ide: 192.168.1.100:50001”. A kliens – ha a hálózaton kívülről próbál csatlakozni – megkapja ezt a belső IP-címet, de mivel ez egy privát IP-tartomány, kívülről nem tud rá csatlakozni. A kliensnek a router külső, publikus IP-címére (pl. 85.123.45.67) lenne szüksége, és a routernek kellene tudnia, hogy az adott portra érkező forgalmat a belső szerverre továbbítsa.

Szerver Oldali Tűzfal

Még ha az FTP szerver helyesen is adja meg a külső IP-címet és a PASV portot, a szerveren futó operációs rendszer beépített tűzfala (pl. Windows Defender Firewall, iptables Linuxon) letilthatja a PASV mód által használt véletlenszerűen kiválasztott magas portszámú bejövő kapcsolatokat. Ez a tűzfal megvédi a szervert a nem kívánt hozzáféréstől, de ehhez be kell állítani, hogy engedje át az FTP-specifikus forgalmat.

Hibás FTP Szerver Konfiguráció

Néhány FTP szerver szoftver alapértelmezetten nem megfelelően van konfigurálva a NAT mögötti működésre, vagy egyszerűen nem ismeri a router külső IP-címét. Ezért kézzel kell beállítanunk, hogy mit mondjon a klienseknek a saját IP-címéről, és milyen porttartományt használjon a PASV módhoz.

A Végleges Megoldás: Lépésről Lépésre a Működő FTP-ig

A működő FTP szolgáltatáshoz három fő komponenst kell megfelelően konfigurálni:

1. Az FTP szerver szoftverét.
2. A routert (port továbbítás).
3. A szerver operációs rendszerének tűzfalát.

1. Az FTP Szerver Konfigurálása (Ez a Legfontosabb!)

Ennek a lépésnek az a célja, hogy az FTP szerverünk tudja, mi a routerünk külső, publikus IP-címe, és ezt adja meg a klienseknek a PASV válaszban. Emellett érdemes egy konkrét PASV port tartományt is meghatározni, hogy ne kelljen az összes magas portot megnyitni.

Példák népszerű FTP szerverekkel:

FileZilla Server (Windows)

• Nyissa meg a FileZilla Server Interface-t.
• Menjen az Edit > Settings menüpontra.
• Bal oldalon válassza a Passive mode settings-et.
• Jelölje be az „Use custom port range” opciót, és adjon meg egy tartományt, pl. 50000-50010. Fontos, hogy ez egy nem túl nagy tartomány legyen, de legyen elegendő egyidejű kapcsolathoz (pl. 10-20 port).
• A „Use the following IP” résznél jelölje be a rádiógombot, és adja meg a routerének aktuális külső, publikus IP-címét (ezt megtudhatja pl. a whatismyip.com oldalon). Ha dinamikus IP-je van, használhat DDNS szolgáltatást (Dynamic DNS), és itt a DDNS domain nevét adja meg (pl. sajatftp.dyndns.org).
• Jelölje be az „Don’t use external IP for local connections” opciót is, hogy a belső hálózatról való elérés esetén ne legyen probléma.
• Kattintson az OK gombra a mentéshez.

vsftpd (Linux)

Szerkessze a /etc/vsftpd.conf fájlt (root jogosultsággal):

sudo nano /etc/vsftpd.conf

Keresse meg, vagy adja hozzá a következő sorokat (ha kommentelve vannak, vegye ki a # jelet előlük):

pasv_enable=YES
pasv_min_port=50000
pasv_max_port=50010
pasv_address=85.123.45.67  # Itt adja meg a router külső IP-címét, vagy a DDNS domain nevét.
                            # Ha nem adja meg, a vsftpd megpróbálja kitalálni, de ez nem mindig sikeres NAT mögött.

Mentsd a fájlt, és indítsd újra a vsftpd szolgáltatást:

sudo systemctl restart vsftpd

ProFTPD (Linux)

Szerkessze a /etc/proftpd/proftpd.conf (vagy hasonló) fájlt:

sudo nano /etc/proftpd/proftpd.conf

Adja hozzá a következő sorokat a konfigurációhoz:

PassivePorts 50000 50010
MasqueradeAddress 85.123.45.67 # Itt adja meg a router külső IP-címét, vagy a DDNS domain nevét.

Mentsd a fájlt, és indítsd újra a ProFTPD szolgáltatást:

sudo systemctl restart proftpd

Fontos megjegyzés DDNS-sel kapcsolatban: Ha az internet szolgáltatója dinamikusan változó IP-címet biztosít, akkor a külső IP-cím megadása helyett erősen ajánlott egy Dynamic DNS (DDNS) szolgáltatás használata. A DDNS szolgáltató (pl. No-IP, DynDNS, FreeDNS) egy szoftver segítségével folyamatosan frissíti a domain neve (pl. sajatftp.dyndns.org) mögött álló IP-címet, így az FTP szerver mindig a helyes publikus címet fogja közölni a kliensekkel, akkor is, ha az IP-cím változik. A legtöbb router támogatja a DDNS kliens beállítását.

2. A Router (NAT) Beállítása: Port Továbbítás (Port Forwarding)

Most, hogy az FTP szerver tudja, mit mondjon a klienseknek, a routernek is tudnia kell, hova irányítsa a bejövő forgalmat.

• Jelentkezzen be a routere webes kezelőfelületére (általában 192.168.0.1 vagy 192.168.1.1).
• Keresse meg a „Port Forwarding”, „NAT”, „Virtual Servers” vagy hasonló nevű menüpontot.
• Hozzon létre két port továbbítási szabályt:
  1. FTP Vezérlő Csatorna:
     • Külső port (External Port): 21
     • Belső port (Internal Port): 21
     • Protokoll: TCP
     • Belső IP-cím (Internal IP Address): Az FTP szerver gépének privát IP-címe (pl. 192.168.1.100). Fontos, hogy ez az IP-cím legyen statikus, vagy a router DHCP szerverén kösse hozzá a MAC címhez, hogy ne változzon!
  2. FTP PASV Adatcsatorna:
     • Külső port tartomány (External Port Range): A szerveren beállított PASV port tartomány (pl. 50000-50010).
     • Belső port tartomány (Internal Port Range): Ugyanez a tartomány (50000-50010).
     • Protokoll: TCP
     • Belső IP-cím (Internal IP Address): Ugyanaz az FTP szerver IP-címe (pl. 192.168.1.100).
• Mentse el a beállításokat. Lehetséges, hogy a router újraindul.

Megjegyzés: Néhány router rendelkezik beépített „FTP Passthrough” vagy „FTP ALG (Application Layer Gateway)” funkcióval. Ez elméletileg automatikusan kezeli az FTP NAT problémáit. Azonban sokszor pont ez okozza a problémát, különösen a PASV mód esetében, ha nem megfelelően implementálták. Ha továbbra is gondja van, próbálja meg letiltani ezt a funkciót, és a fenti manuális port továbbítást használni.

3. A Szerver Oldali Tűzfal Konfigurálása

Végül, de nem utolsósorban, győződjön meg arról, hogy a szerverén futó operációs rendszer tűzfala engedélyezi a szükséges portokat.

Windows (Windows Defender Firewall)

• Nyissa meg a Windows Defender tűzfalat (vezérlőpultban vagy Start menü keresőjével).
• Kattintson az „Advanced settings” (Speciális beállítások) linkre.
• A bal oldali panelen válassza az „Inbound Rules” (Bejövő szabályok) opciót.
• Kattintson a jobb oldalon a „New Rule…” (Új szabály…) menüpontra.
  1. Port Rule (21-es port):
     • Válassza a „Port” opciót.
     • Protokoll: TCP.
     • Specific local ports: 21.
     • Engedélyezze a kapcsolatot („Allow the connection”).
     • Válassza ki a profilokat (Domain, Private, Public – valószínűleg a Public is kell).
     • Adjon neki egy nevet, pl. „FTP Control Port”.
  2. Port Rule (PASV tartomány):
     • Válassza a „Port” opciót.
     • Protokoll: TCP.
     • Specific local ports: Adja meg a PASV tartományt, pl. 50000-50010.
     • Engedélyezze a kapcsolatot („Allow the connection”).
     • Válassza ki a profilokat.
     • Adjon neki egy nevet, pl. „FTP PASV Ports”.

Linux (pl. ufw vagy firewalld)

UFW (Uncomplicated Firewall)

sudo ufw allow 21/tcp
sudo ufw allow 50000:50010/tcp
sudo ufw enable
sudo ufw status

Firewalld (CentOS/RHEL/Fedora)

sudo firewall-cmd --permanent --add-port=21/tcp
sudo firewall-cmd --permanent --add-port=50000-50010/tcp
sudo firewall-cmd --reload
sudo firewall-cmd --list-all

Ezek a parancsok megnyitják a szükséges portokat a tűzfalon.

Gyakori Hibák és Hibaelhárítási Tippek

Ha a fenti lépések ellenére sem működik az FTP, íme néhány tipp a hibakereséshez:

• Ellenőrizze az FTP szerver naplóit: A szerver szoftver (FileZilla Server, vsftpd, ProFTPD) részletes naplókat vezet a kapcsolódási kísérletekről és hibákról. Ezek a legfontosabb források a probléma azonosítására.
• Használjon online port ellenőrző eszközt: Látogasson el egy olyan weboldalra, mint pl. a yougetsignal.com/tools/open-ports/, és ellenőrizze, hogy a 21-es port és a PASV tartomány portjai (pl. egyet a tartományból) nyitva vannak-e a routerének külső IP-címén.
• Tesztelje a belső hálózatról: Először próbálja meg FTP klienssel elérni a szervert a router mögül (tehát a belső hálózatról, a szerver privát IP-címével). Ha ez sem megy, valószínűleg a szerver konfigurációja vagy a szerver oldali tűzfal a hiba.
• Tesztelje külső hálózatról (mobilinternet): Miután a belső teszt sikeres, próbálja meg elérni a szervert egy teljesen más hálózatról (pl. mobiltelefon mobilinternetéről, Wi-Fi kikapcsolva). Ez kizárja a belső hálózati cache vagy router beállítások okozta tévedéseket.
• Ideiglenesen kapcsolja ki a tűzfalakat: Csak tesztelés céljából próbálja meg kikapcsolni a szerveren futó operációs rendszer tűzfalát. Ha így működik, akkor a tűzfal beállításai a hibásak. Ne felejtse el visszakapcsolni utána!
• Ellenőrizze az IP-címeket: Győződjön meg arról, hogy az FTP szervernek fix IP-címe van a belső hálózaton, és ezt az IP-címet adta meg a port továbbításnál.
• Router újraindítása: Néha egy router újraindítása segít, ha a beállítások nem léptek életbe azonnal.

Biztonsági Megfontolások: Az FTP Árnyoldala

Bár az FTP konfigurálása kihívást jelenthet, fontos megemlíteni, hogy a „klasszikus” FTP protokoll nem biztonságos. A felhasználónevek, jelszavak és az adatátvitel is titkosítás nélkül, „sima szövegként” (plain text) történik a hálózaton keresztül. Ez azt jelenti, hogy bárki, aki lehallgatja a hálózati forgalmat, hozzáférhet ezekhez az érzékeny adatokhoz.

Ezért, ha lehetséges, erősen ajánlott az FTP helyett titkosított protokollok használata:

• SFTP (SSH File Transfer Protocol): Ez az SSH (Secure Shell) protokoll része, és egyetlen porton (alapértelmezetten 22-es TCP) keresztül biztosítja a titkosított fájlátvitelt. Sokkal biztonságosabb, és kevesebb beállítási gonddal jár router mögül.
• FTPS (FTP over SSL/TLS): Az FTP protokoll titkosított változata, amely SSL/TLS tanúsítványokat használ a biztonságos kommunikációhoz. Ehhez általában az alapértelmezett 21-es port mellett a 990-es TCP portra (explicit SSL/TLS) vagy egy véletlenszerűen választott PASV portra is szükség van, de a kommunikáció maga titkosított.

Ha ragaszkodik az FTP-hez, minimalizálja a biztonsági kockázatokat:

• Használjon erős, egyedi jelszavakat.
• Korlátozza a hozzáférést a szerverhez csak a feltétlenül szükséges felhasználókra.
• Adjon meg a felhasználóknak csak a szükséges minimális jogosultságokat (pl. csak olvasás, vagy csak írás bizonyos mappákba).
• Ha teheti, korlátozza a hozzáférést a tűzfalon keresztül csak bizonyos megbízható IP-címekre.

Összefoglalás: A Hálózat Labirintusából a Fényre

Az FTP és a routerek mögötti működés bonyolultnak tűnhet elsőre, de reméljük, ez a részletes útmutató segített megvilágítani a probléma gyökerét és a megoldás lépéseit. A kulcs a PASV mód helyes konfigurációja az FTP szerveren, a port továbbítás a routeren, és a tűzfal szabályok beállítása a szerveren. Ha ezeket a lépéseket gondosan követi, és odafigyel a részletekre, végre búcsút inthet a bosszantó „Timeout” üzeneteknek, és élvezheti a zökkenőmentes fájlátvitelt.

Ne feledje a biztonságot sem! Ha érzékeny adatokat továbbít, mindig részesítse előnyben az SFTP vagy FTPS protokollokat a hagyományos FTP helyett. A hálózat világa tele van kihívásokkal, de egy kis türelemmel és a megfelelő tudással minden akadály leküzdhető!