FTP / VPN

[berrucas]

Buenos días, mi pregunta es la siguiente:
Tengo una VPN en el router mikrotik y habilitado el servidor FTP por el puerto 212. Desde fuera cuando "bajo" la VPN puedo utilizar FTP por el puerto 212 pero en el router no tengo dicho puerto abierto. La pregunta es ¿si utilizo FTP desde una LAN no es necesario abrir e el router el puerto que utiliza verdad?.

Gracias

[nohumanbinary]

Hola,
entiendo que el FTP lo tienes escuchando en un host dentro de tu red LAN.
Si es así, FTP tiene dos modos de configuración:

Modo activo
En este modo el servidor establece una conexión contra el cliente.
Por lo tanto si tienes el cliente a través de un router que hace NAT, deberás redirigir el puerto desde el router hacia el equipo cliente para que el servidor sea capaz de ver ese puerto desde el exterior.




Modo pasivo
En este caso, ambas conexiones se realizan desde el cliente, por lo tanto la redirección de puertos la tenemos que realizar en el lado del servidor (en caso que lo tengamos tras un NAT).




Por otro lado, si tienes el servicio FTP habilitado en el propio router Mikrotik debes tener en cuenta que estos equipos (si removemos las configuraciones que nos vienen de fábrica) están completamente en blanco.
Esto quiere decir que, si habilitamos un servicio, este estará accesible en todas las IPs que hayamos asignado a todas las interfaces del equipo.
Para limitar este acceso podemos recurrir a las siguientes opciones para filtrarlo:

IP -> Firewall -> Filter
Donde podemos agregar una regla en el chain INPUT para bloquear el acceso cuando intentemos conectar a la IP pública que tiene tu router por el protocolo TCP y el puerto destino 212

/ip firewall filter add action=drop chain=input protocol=tcp dst-port=212 in-interface=interface-WAN dst-address=direc.ip.wan


IP -> Services

/ip service set ftp port=212 address=ips.desde.donde.conectas




Un saludo