Qualquer ideia de por que o SFTP funciona de maneira diferente com base na máquina / rede cliente

Question

Qualquer ideia de por que o SFTP funciona de maneira diferente com base na máquina / rede cliente

#1 resposta do (3 votos)

1

Eu tenho uma situação estranha.

Do computador A com PSFTP.EXE (cliente putty sftp) posso conectar-me a um servidor sftp remoto e usar dir e chdir para navegar. Se eu tentar obter arquivos ou colocar , recebo um erro de permissão.

Do computador B com PSFTP.EXE (mesma versão) Eu posso conectar ao SAME servidor com as mesmas credenciais e usar dir, chdir para navegar e também obter / colocar o trabalho.

A única diferença é que o Computador A está atrás de um firewall que bloqueia o tráfego de saída. O administrador do firewall abriu a porta 22 para mim. Antes disso, eu nem conseguia me conectar.

Estou confuso porque obviamente os dados estão fluindo nas duas direções (listagens de diretório retornam dados). E eu sei que estou me conectando ao mesmo servidor (arquivos colocados pelo computador B aparecem nas listas de diretório do Computador A)

Existe algo que eu possa fazer com que o administrador do firewall considere tal comportamento?
ou seja, conexões são permitidas, dir & chdir são permitidas, mas as transmissões de arquivo são negadas? na verdade, todas as alterações de arquivo são negadas (mv, ren, rm, etc)

Eu sei que soa como um problema de permissões no servidor, mas se fosse esse o caso, eu esperaria que o Computador B tivesse o mesmo problema e não tivesse absolutamente nenhum problema.

Editar # 1

Here is Computer A's session details: (slightly changed to protect sensitive data)

psftp> open servername.com
Looking up host "servername.com"
Connecting to x.x.x.x port 22
**Server version: SSH-2.0-OpenSSH_4.6**
Using SSH protocol version 2
We claim version: SSH-2.0-PuTTY_Release_0.62
Doing Diffie-Hellman group exchange
Doing Diffie-Hellman key exchange with hash SHA-256
Host key fingerprint is:
ssh-rsa 1024 
Initialised AES-256 SDCTR client->server encryption
Initialised HMAC-SHA1 client->server MAC algorithm
Initialised AES-256 SDCTR server->client encryption
Initialised HMAC-SHA1 server->client MAC algorithm
login as: username
password:
Sent password
Access granted
Opened channel for session
Started a shell/command
Connected to servername.com
Remote working directory is /


Here is Computer B's session details: (slightly changed to protect sensitive data)

psftp> open servername.com
Looking up host "servername.com"
Connecting to x.x.x.x port 22
**Server version: SSH-2.0-0.0**
Using SSH protocol version 2
We claim version: SSH-2.0-PuTTY_Release_0.62
Doing Diffie-Hellman group exchange
Doing Diffie-Hellman key exchange with hash SHA-1
Host key fingerprint is:
ssh-dss 1024 ...
Initialised AES-256 CBC client->server encryption
Initialised HMAC-SHA1 client->server MAC algorithm
Initialised AES-256 CBC server->client encryption
Initialised HMAC-SHA1 server->client MAC algorithm
Pageant is running. Requesting keys.
Pageant has 0 SSH-2 keys
login as: username
password:
Sent password
Access granted
Opened channel for session
Started a shell/command
Connected to servername.com
Remote working directory is /

sftp putty firewall

por Rex Bloom 26.02.2015 / 17:51

1 resposta

Tags sftp putty firewall

HW Erro do controlador de raid Para segurança máxima, devo usar o modo distribuído ou uma configuração de proxy reverso?

score 3 · Accepted Answer

O Firewall não pode bloquear downloads / uploads individuais com SFTP. A conexão é criptografada. O firewall não pode ver o que está acontecendo entre o cliente e o servidor, deixe apenas intervir de qualquer maneira. Tudo o que o firewall pode fazer é bloquear toda a conexão, mas não operações individuais.

Mas o servidor SFTP pode bloquear os downloads / uploads com base no endereço IP do cliente. Por exemplo, ProFTPD / mod_sftp permite isso (usando a diretiva Allow ).

Nos logs que você forneceu, é óbvio que você está se conectando a um servidor diferente a cada vez. Embora possa ser o mesmo servidor físico, é definitivamente um servidor SSH diferente. Mesmo se você estiver se conectando ao mesmo endereço IP e porta, ele pode ser o firewall que o encaminha para uma porta diferente (até mesmo um endereço IP diferente, obviamente, mas você afirma que não é o caso) com base no seu endereço IP local.