RE: FTPS en iseries

[Cid Fernández]

Hola,

 

El FTP usa el puerto 21 para abrir la conexión, pero después se usa otro
puerto para la transmisión.

Dicho puerto varía dependiendo de la modalidad de uso:

-   Si se usa el modo activo, debe abrirse también el puerto 20 para
la transmisión de datos.

-  Si se usa el modo pasivo entonces el Servidor FTP es quien le
indica al Cliente cual será el puerto de datos.

o   Nota: se puede configurar que el modo pasivo solo trabaje dentro de un
rango de puertos de retorno (a partir del 1024)

 

Si no hay restricciones de puertos entonces no hay que tocar nada, pero si
se restringen los puertos entonces hay que dejar pasar al menos los puertos
20 y 21 (si es FTPS entonces los puertos usados normalmente son el 21 para
abrir y el 990 para datos)

 

 

Saludos, Cid

 

De: forum.help400-boun...@listas.combios.es
 En nombre de Angel Pulido
Enviado el: jueves, 26 de abril de 2018 16:41
Para: forum.help400 (forum.help400@listas.combios.es)

Asunto: FTPS en iseries

 

Hola,

 

Estamos intentamos poner en marcha una transferencia de datos usando el
iSeries como servidor FTPS y tenemos un problema al pasar por el firewall.

 

Si abrimos todos los puertos desde el cliente a través del firewall hacia el
iSeries funciona sin problemas, pero si solo abrimos los puerto FTP 21 y 996
la comunicación se queda colgada. Hemos probado con todas las posibilidades
pasivo no pasivo etc… y todo termina igual, parece que el problema es que el
iSeries no informa al cliente de la ip publica del servidor FTP (AS) si no
de la privada y debido a eso el FW no abre los puertos que debe.

 

No se realmente cual es la razón. FTP normal funciona sin problemas y FTPS
funciona siempre que dejemos todos los puertos abiertos para la ip origen
del cliente, pero claro esto solo lo puedes hacer con orígenes de mucha
confianza y aun asi no es una solución. 

 

Cualquier idea es bienvenida,

 

saludos

 

Angel 

 

Este correo electrónico y su información son de carácter confidencial,
dirigiéndose exclusivamente al destinatario mencionado en el encabezamiento,
cuyos datos forman parte de un fichero de SUZUKI MOTOR IBÉRICA, S.A.U. (Av.
Carlos Sainz 35, 28914 Leganés) con la finalidad de gestionar la relación
con la empresa. Si el receptor de la comunicación no fuera el destinatario,
le rogamos nos lo comunique de inmediato y proceda a destruir el mensaje
recibido. Cualquier divulgación, copia, distribución o utilización no
autorizada de la información contenida en el mismo está prohibida por la
legislación vigente. Podrá ejercer sus derechos de acceso, rectificación,
cancelación y oposición mediante comunicación a la dirección anteriormente
indicada. 

The information in this e-mail and in any attachments is classified as
confidential and it is intended solely for the attention and use of the
named addresses (s), whose data are stored by SUZUKI MOTOR IBERICA, S.A.U.
(Av. Carlos Sáinz, 35, 28914, Leganés) to manage the relationship with its
customers. If you are not the intended recipient please report immediately
the incident to the sender and destroy all its content. You are hereby
notified that any dissemination, copy, distribution or use of this
communication is strictly prohibited by law. You may exercise your right of
access, rectification or cancellation by contacting us in the above
mentioned company and address. 


Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd )
Forum.Help400 © Publicaciones Help400, S.L.

RE: Conexión SSL implícita con servidor FileZilla

[Gandul, Luis]

Gracias por lo que nos toca a algunos que nos pegamos con ello en su día y 
aburridos optamos por otras soluciones.
Y es que a veces es más barato una retirada a tiempo que quemar las naves.
Pero a los que nos dedicamos a esto, ese gusanillo de una tarea no resuelta 
siempre pica
Pues parece tú has resuelto el enigma.
Buen trabajo, hombre
Lo probaré.  Lo prometo

Saludos



De: forum.help400-boun...@listas.combios.es 
[mailto:forum.help400-boun...@listas.combios.es] En nombre de Javier Mora
Enviado el: jueves, 26 de abril de 2018 17:20
Para: forum.help400
Asunto: [EXT] RE: Conexión SSL implícita con servidor FileZilla

Hola a tod@s,

después de haber recopilado alguna información sobre este tema os puede contar 
que la conexión FTP SSL implícito el cliente FTP del IBM i se ha implementando 
según un borrador de los RFC relacionados con seguridad y FTP. Este documento 
indicaba que el cliente debía abrir la conexión por el puerto 990 y enviar 
explícitamente el subcomando SECDATA P (o de servidor PROT P).

¿Por qué funciona con otros clientes FTP el modo implícito sin la necesidad de 
esta operativa? Posiblemente porque el cliente esté programado para enviar el 
subcomando SECDATA P directamente.

Sea lo que sea, la IETF lleva algunos años desaconsejando el uso de las 
conexiones FTP SSL implícitas (no he encontrado el porqué) y recomiendan la 
modalidad "explícita".

Para aquellos que estén utilizando los mandatos EZFTP* para transferir archivos 
de forma segura debo advertirles que la conexión implícita no funciona. Estoy 
modificando los mandatos para corregir este problemilla.

Saludos,

Javier

De: forum.help400-boun...@listas.combios.es 
[mailto:forum.help400-boun...@listas.combios.es] En nombre de Javier Mora
Enviado el: miércoles, 11 de abril de 2018 18:50
Para: forum.help400
Asunto: Conexión SSL implícita con servidor FileZilla

Hola a tod@s,

desde hace ya varios años abrimos conexiones FTP seguras desde el IBM i con 
varios servidores FileZilla. La conexión segura es "explícita" y lo conseguimos 
con los siguientes parámetros:

FTP RMTSYS('filezilla') PORT(21) SECCNN(*SSL) DTAPROT(*PRIVATE)

Y todo funciona perfectamente.

Como la conexión inicial se realiza por el puerto 21 nuestros auditores nos 
dicen que no puede ser, porque no es segura (aunque le hemos demostrado lo 
contrario) y nos piden que abramos la conexión por el puerto 990. En concreto, 
nos indican que esto se podría hacer mediante una conexión "implícita".

Hemos probado varias combinaciones de parámetros y a lo máximo que llegamos es 
a:

FTP RMTSYS('filezilla') PORT(990) SECCNN(*IMPLICIT) DTAPROT(*PRIVATE)

pero el *PRIVATE parece no tener efecto y nos obliga a forzar un SECDATA P.

¿Alguien sabe como abrir una conexión "implícita" con FileZilla si tener que 
forzar la conexión segura de datos?

Cuando abrimos una conexión "implícita" desde otro cliente FTP (cualquiera 
disponible en Windows) el subcomando FTP de servidor PROT P se ejecuta 
automáticamente.

Lo que pretendemos es forzar conexión con puerto 990 sin tener que cambiar las 
decenas o cientos de scripts FTP para forzar un SECDATA P.

Un saludo y gracias por vuestros comentarios,

Javier Mora

MetLife Europe d.a.c y MetLife Europe Insurance d.a.c son Compañías del Grupo 
MetLife.

MetLife Europe d.a.c. es una sociedad de responsabilidad limitada por acciones 
registrada en Irlanda con número 415123. MetLife Europe d.a.c. Sucursal en 
España, con CIF W-0072536-F, está registrada en el Registro Mercantil de Madrid 
en el Tomo 30.276, Folio 192, Sección 8ª, Hoja M-544907, Inscripción 1ª, e 
inscrita en la Dirección General de Seguros y Fondos de Pensiones con el número 
E-0208, con domicilio social en Madrid, Avenida de los Toreros nº 3 (CP 28028).

MetLife Europe Insurance d.a.c. es una sociedad de responsabilidad limitada por 
acciones registrada en Irlanda con número 472350. MetLife Europe Insurance 
d.a.c. Sucursal en España, con CIF W-0072537-D, está registrada en el Registro 
Mercantil de Madrid en el Tomo 30.288, Folio 181, Sección 8ª, Hoja M-544155, 
Inscripción 1ª, e inscrita en la Dirección General de Seguros y Fondos de 
Pensiones con el número E-0209, con domicilio social en Madrid, Avenida de los 
Toreros nº 3 (CP 28028).

El domicilio social de MetLife Europe d.a.c. y MetLife Europe Insurance d.a.c. 
está situado en Irlanda, "20 on Hatch, Lower Hatch Street, Dublín 2".. MetLife 
Europe d.a.c. y MetLife Europe Insurance d.a.c. (ambas utilizando la marca 
MetLife), están reguladas por el Central Bank of Ireland sin perjuicio de las 
facultades atribuidas a la Dirección General de Seguros y Fondos de Pensiones.

This email (including any attachments) is intended for the designated 
recipient(s) only, and may be confidential, non-public, proprietary, and/or 
protected by the attorney-client or other privilege. Unauthorized reading, 
distribution, copying or other use of this communication is prohibited and may 
be unlawful. Receipt by anyone other than the 

RE: Conexión SSL implícita con servidor FileZilla

[Javier Mora]

Hola a tod@s,

después de haber recopilado alguna información sobre este tema os puede contar 
que la conexión FTP SSL implícito el cliente FTP del IBM i se ha implementando 
según un borrador de los RFC relacionados con seguridad y FTP. Este documento 
indicaba que el cliente debía abrir la conexión por el puerto 990 y enviar 
explícitamente el subcomando SECDATA P (o de servidor PROT P).

¿Por qué funciona con otros clientes FTP el modo implícito sin la necesidad de 
esta operativa? Posiblemente porque el cliente esté programado para enviar el 
subcomando SECDATA P directamente.

Sea lo que sea, la IETF lleva algunos años desaconsejando el uso de las 
conexiones FTP SSL implícitas (no he encontrado el porqué) y recomiendan la 
modalidad "explícita".

Para aquellos que estén utilizando los mandatos EZFTP* para transferir archivos 
de forma segura debo advertirles que la conexión implícita no funciona. Estoy 
modificando los mandatos para corregir este problemilla.

Saludos,

Javier

De: forum.help400-boun...@listas.combios.es 
[mailto:forum.help400-boun...@listas.combios.es] En nombre de Javier Mora
Enviado el: miércoles, 11 de abril de 2018 18:50
Para: forum.help400
Asunto: Conexión SSL implícita con servidor FileZilla

Hola a tod@s,

desde hace ya varios años abrimos conexiones FTP seguras desde el IBM i con 
varios servidores FileZilla. La conexión segura es "explícita" y lo conseguimos 
con los siguientes parámetros:

FTP RMTSYS('filezilla') PORT(21) SECCNN(*SSL) DTAPROT(*PRIVATE)

Y todo funciona perfectamente.

Como la conexión inicial se realiza por el puerto 21 nuestros auditores nos 
dicen que no puede ser, porque no es segura (aunque le hemos demostrado lo 
contrario) y nos piden que abramos la conexión por el puerto 990. En concreto, 
nos indican que esto se podría hacer mediante una conexión "implícita".

Hemos probado varias combinaciones de parámetros y a lo máximo que llegamos es 
a:

FTP RMTSYS('filezilla') PORT(990) SECCNN(*IMPLICIT) DTAPROT(*PRIVATE)

pero el *PRIVATE parece no tener efecto y nos obliga a forzar un SECDATA P.

¿Alguien sabe como abrir una conexión "implícita" con FileZilla si tener que 
forzar la conexión segura de datos?

Cuando abrimos una conexión "implícita" desde otro cliente FTP (cualquiera 
disponible en Windows) el subcomando FTP de servidor PROT P se ejecuta 
automáticamente.

Lo que pretendemos es forzar conexión con puerto 990 sin tener que cambiar las 
decenas o cientos de scripts FTP para forzar un SECDATA P.

Un saludo y gracias por vuestros comentarios,

Javier Mora


Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd )
Forum.Help400 © Publicaciones Help400, S.L.

FTPS en iseries

[Angel Pulido]

Hola,

Estamos intentamos poner en marcha una transferencia de datos usando el iSeries 
como servidor FTPS y tenemos un problema al pasar por el firewall.

Si abrimos todos los puertos desde el cliente a través del firewall hacia el 
iSeries funciona sin problemas, pero si solo abrimos los puerto FTP 21 y 996 la 
comunicación se queda colgada. Hemos probado con todas las posibilidades pasivo 
no pasivo etc... y todo termina igual, parece que el problema es que el iSeries 
no informa al cliente de la ip publica del servidor FTP (AS) si no de la 
privada y debido a eso el FW no abre los puertos que debe.

No se realmente cual es la razón. FTP normal funciona sin problemas y FTPS 
funciona siempre que dejemos todos los puertos abiertos para la ip origen del 
cliente, pero claro esto solo lo puedes hacer con orígenes de mucha confianza y 
aun asi no es una solución.

Cualquier idea es bienvenida,

saludos

Angel

Este correo electrónico y su información son de carácter confidencial, 
dirigiéndose exclusivamente al destinatario mencionado en el encabezamiento, 
cuyos datos forman parte de un fichero de SUZUKI MOTOR IBÉRICA, S.A.U. (Av. 
Carlos Sainz 35, 28914 Leganés) con la finalidad de gestionar la relación con 
la empresa. Si el receptor de la comunicación no fuera el destinatario, le 
rogamos nos lo comunique de inmediato y proceda a destruir el mensaje recibido. 
Cualquier divulgación, copia, distribución o utilización no autorizada de la 
información contenida en el mismo está prohibida por la legislación vigente. 
Podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición 
mediante comunicación a la dirección anteriormente indicada.

The information in this e-mail and in any attachments is classified as 
confidential and it is intended solely for the attention and use of the named 
addresses (s), whose data are stored by SUZUKI MOTOR IBERICA, S.A.U. (Av. 
Carlos Sáinz, 35, 28914, Leganés) to manage the relationship with its 
customers. If you are not the intended recipient please report immediately the 
incident to the sender and destroy all its content. You are hereby notified 
that any dissemination, copy, distribution or use of this communication is 
strictly prohibited by law. You may exercise your right of access, 
rectification or cancellation by contacting us in the above mentioned company 
and address.

Únete a Recursos AS400, nuestra Comunidad ( http://bit.ly/db68dd )
Forum.Help400 © Publicaciones Help400, S.L.