Problematica apparentemente stupida capitata giusto stamane. Sulla stessa macchina sarà necessario attivare un doppio server FTP di cui solo uno esposto all’esterno con IP pubblico raggiungibile dalla rete. Il secondo server dovrà essere “riservato ad alcune reti LAN” e in ascolto su una porta differente da quella standard.

Riepilogo estremamente semplice: il primo sfrutterà la classica porta 21, il secondo la 2121 e sarà bloccato tramite regole di firewall, rendendolo disponibile -come richiesto- solo ad alcune sottoreti. Per gli addetti il funzionamento di modalità attiva e passiva è cosa banale, un po’ meno per chi non è abituato a mangiare di questo quotidianamente:

FTP, a differenza di altri protocolli come ad esempio HTTP, utilizza due connessioni separate per gestire comandi e dati. Un server FTP rimane tipicamente in ascolto sulla porta 21 TCP a cui si connette il client. La connessione da parte del client determinerà l’inizializzazione del canale comandi attraverso il quale client e server si scambieranno comandi e risposte. Lo scambio effettivo di dati (come ad esempio file) richiederà l’apertura del canale dati il quale può essere di due tipi.

In un canale dati di tipo attivo il client apre una porta tipicamente random, tramite il canale comandi rende noto il numero di tale porta al server e attende che esso si connetta. Una volta che il server ha attivato la connessione dati al client FTP, quest’ultimo effettua il binding della porta sorgente alla porta 20 del server FTP. A tale scopo possono venire impiegati i comandi PORT o EPRT, a seconda del protocollo di rete utilizzato (tipicamente IPv4 o IPv6).

In un canale dati di tipo passivo il server apre una porta tipicamente random (> 1023), tramite il canale comandi rende noto il numero di tale porta al client e attende che esso si connetta. A tale scopo possono venire impiegati i comandi PASV o EPSV, a seconda del protocollo di rete utilizzato (tipicamente IPv4 o IPv6).

Ergo: contrariamente al servizio FTP esposto in modalità attiva (per richiesta), quello interno configurato in modalità passiva avrebbe potuto utilizzare una qualsiasi porta casuale (oltre la 2121 stabilita in IIS) in un range che va dalla 1025 alla 5000, come dichiarato nel documento Microsoft pubblicato in Technet:

technet.microsoft.com/en-us/library/cc734964%28WS.10%29.aspx

A questo punto è stato necessario fare in modo che il range diminuisse notevolmente per poter aprire meno porte possibili e concedere lo stretto indispensabile ai PC che potranno far accesso alla 2121 in Passive Mode per scambiare dati via FTP. Lo stesso documento propone l’utilizzo di uno script già presente in una qualsiasi installazione di Microsoft IIS:

Configure PassivePortRange by using an ADSUTIL script

To configure PassivePortRange by using an ADSUTIL script:

1. Open an elevated Command Prompt window. Click Start, point to All Programs, click Accessories, right-click Command Prompt, and then click Run as administrator.
2. Type cd %SystemDrive%\Inetpub\AdminScripts and press ENTER.
3. Type the following from the command prompt (this example uses a port range of 6000-7000):adsutil.vbs set /MSFTPSVC/PassivePortRange “6000-7000″

Restart the FTP Service

To restart the FTP Service:

1. Open an elevated Command Prompt window. Click Start, point to All Programs, click Accessories, right-click Command Prompt, and then click Run as administrator.
2. Type net stop msftpsvc.
3. Type net start msftpsvc.

Si ottiene quindi questo risultato:

IIS: restringere il range di porte per il Passive Mode

L’ultima modifica riguarderà il firewall e si potrà ora facilmente controllare avendo limitato il range di porte a 20 comprese tra la 6000 e la 6020 (oltre la 2121 precedentemente stabilita e inserita nella configurazione di IIS). Tradotto in iptables (ho offuscato lo stretto necessario):

iptables -t filter -A FORWARD -s 192.168.1.0/24 -d IPSERVERFTP -p tcp --dport 2121 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.2.0/24 -d IPSERVERFTP -p tcp --dport 2121 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.3.0/24 -d IPSERVERFTP -p tcp --dport 2121 -j ACCEPT
iptables -t filter -A FORWARD -s IPSERVERFTP -d 192.168.1.0/24 -p tcp --sport 2121 -j ACCEPT
iptables -t filter -A FORWARD -s IPSERVERFTP -d 192.168.2.0/24 -p tcp --sport 2121 -j ACCEPT
iptables -t filter -A FORWARD -s IPSERVERFTP -d 192.168.3.0/24 -p tcp --sport 2121 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.1.0/24 -d IPSERVERFTP -p tcp --dport 6000:6020 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.2.0/24 -d IPSERVERFTP -p tcp --dport 6000:6020 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.3.0/24 -d IPSERVERFTP -p tcp --dport 6000:6020 -j ACCEPT
iptables -t filter -A FORWARD -s IPSERVERFTP -d 192.168.1.0/24 -p tcp --sport 6000:6020 -j ACCEPT
iptables -t filter -A FORWARD -s IPSERVERFTP -d 192.168.2.0/24 -p tcp --sport 6000:6020 -j ACCEPT
iptables -t filter -A FORWARD -s IPSERVERFTP -d 192.168.3.0/24 -p tcp --sport 6000:6020 -j ACCEPT

Dato che per chi lavora costantemente su ambiente Microsoft ricordare la sintassi di iptables potrebbe essere un problema, ho fatto spudorato uso di questo post: cyberciti.biz/tips/linux-iptables-how-to-specify-a-range-of-ip-addresses-or-ports.html, il classico “articolo al posto giusto nel momento giusto” :-)

Fatto ciò basterà riapplicare le regole per poter poi effettuare un test sul primo client che vi capita a tiro, tutto dovrebbe andare liscio come l’olio.

Buon lavoro.

Sono passati diversi giorni ormai dall’uscita ufficiale di Thunderbird 3.0, client gratuito ed open-source di posta elettronica di casa Mozilla, ancora oggi a distanza di 8 giorni dall’annuncio pubblicato su Mozilla Italia ci sono tanti (pure troppi!) dubbi, perplessità sulla nuova interfaccia, difficoltà tecniche che quotidianamente si cerca di tenere a bada nel nostro forum di supporto.

Mi piacerebbe fare il punto della situazione, analizzare quelli che sono i maggiori problemi, magari indirizzarvi verso alcune chicche e alcune possibili soluzioni “diventate ormai standard“, alcune di queste dettate da bug che verranno corretti solo nelle prossime versioni del programma. Bisogna “metterci una pezza“, siamo qui (parlando genericamente del supporto italiano) per farlo insieme a voi.

# get thunderbird

Thunderbird 3.0 è gratuito (ma va?), lo si può scaricare dalla pagina “Download” di Mozilla Italia o si può semplicemente lanciare un upgrade automatico dalla propria versione. Thunderbird 3.0 non toccherà in alcun modo la cartella del vostro profilo, nulla (di regola) andrà perduto, il programma sarà aggiornato e riporterà le vostre vecchie mail, la vostra rubrica, le vostre preferenze.

Un consiglio spassionato? La procedura per un aggiornamento “privo di problemi” è quella che consigliamo puntualmente ad ogni cambio “ramo” (dalla vers.1 alla vers.2, dalla vers.2 alla vers.3):

• disinstallare Thunderbird 2.*
• installare Thunderbird 3.0
• attendere che questo verifichi la compatibilità con estensioni e temi precedentemente installati su Thunderbird 2.*. Non forzare in alcun modo la compatibilità di vecchie estensioni delle quali “non potete fare a meno“, vi posso assicurare che c’è sempre un’alternativa (una nuova estensione, una nuova versione della vecchia estensione, una funzione ora integrata che non richiede un’estensione)

Così facendo tutto dovrebbe filare liscio, legge di Murphy permettendo.

# stupidi bug conosciuti

Thunderbird 3.0 è nato con un bug assolutamente stupido. Nel caso in cui voi riceviate una mail con un file di testo allegato (*.txt), il programma non sarà in grado di aprire il programma predefinito di sistema per consentirne la lettura. In compenso lo stesso file verrà caricato nell’anteprima del messaggio, così che non ci sia effettivamente bisogno di andare ad aprire “in separata sede” l’allegato. C’è un work around sperimentato da uno dei miei “colleghi” ;)

forum.mozillaitalia.org/index.php?topic=42394.msg272173#msg272173

Altri piccoli bug stanno lentamente spuntando fuori, vengono ovviamente analizzati dallo staff e riprodotti dagli utenti partecipanti. Nel caso in cui questi risultino “comportarsi” allo stesso modo su differenti profili e differenti macchine allora si procederà con l’apertura dello specifico bug su BugZilla.

Se invece notate errori di traduzione e volete segnalarli, vi indico il giusto thread da sfruttare ed arricchire di “distrazioni o dimenticanze“, generalmente tutto ciò che viene segnalato viene immediatamente corretto e incluso nell’aggiornamento subito successivo alla versione attuale del programma e del language pack:

forum.mozillaitalia.org/index.php?topic=35309.0

# le casistiche

Diverse sono già le casistiche analizzate, allo stato attuale si parla di circa 4 pagine piene di discussioni (riferito al solo ramo Thunderbird 3.0). Il forum specifico per l’assistenza a Thunderbird 3.0 è sempre lo stesso:

forum.mozillaitalia.org/index.php?board=32.0

Restano inoltre disponibili le discussioni (e le soluzioni proposte e testate) per le versioni 2.*, accessibili semplicemente cliccando qui, raccolte in una sezione separata del forum generico dedicato a Thunderbird. Il supporto (se nulla dovesse cambiare in questi tempi) durerà ancora 6 mesi (dic.09/giu.10).

Tra le varie lamentele c’è ancora una volta il principe dell’instabilità che causa problemi anche agli applicativi Mozilla (e non solo da quanto ho potuto capire gironzolando per la rete): Kaspersky Internet Security e prodotti annessi della stessa provenienza. Vi basterà lanciare una ricerca specifica nel forum per capire di cosa sto parlando:

google.it/search?hl=it&q=kaspersky+site%3Ahttp%3A%2F%2Fforum.mozillaitalia.org%2Findex.php%3Fboard%3D32.0&sourceid=navclient-ff&rlz=1B3GGGL_itIT351IT351&ie=UTF-8

A questo aggiungete qualche lecito dubbio con altri antivirus molto conosciuti ed il quadro può arrivare a completamento:

• Thunderbird 3 e NOD 32 – forum.mozillaitalia.org/index.php?topic=42581.0
• Thunderbird 3 e AVG 9 – forum.mozillaitalia.org/index.php?topic=42561.0

Per completare questa veloce sintesi di quanto sta accadendo, aggiungo un riferimento ad una discussione (ne sono nate altre ma tutte deviate poi su questa) riguardanti la possibilità di utilizzare le caselle di posta di Libero su Thunderbird, nonostante si utilizzi un provider (ISP) alternativo:

forum.mozillaitalia.org/index.php?topic=42520.0

In pratica pare che l’estensione WebMail (webmail.mozdev.org) non segnali correttamente l’aggiornamento del componente di Libero (arrivato ora alla versione 0.9.6). Per risolvere il tutto sarà sufficiente andare a scaricare manualmente il componente dalla pagina webmail.mozdev.org/installation.html e installarlo in Thunderbird.

# c’è altro da sapere?

Certamente. MozillaZine (nota risorsa americana che raccoglie documentazioni e discussioni di supporto su tutti i prodotti Mozilla) ha pubblicato una pagina (in lingua inglese) che raccoglie tutti i problemi nati in seguito al passaggio a Thunderbird 3.0, bug, soluzioni:

kb.mozillazine.org/Thunderbird_3.0_installation_issues

# altro sotto al cofano

Lifehacker ha pubblicato giusto ieri un ottimo articolo che vi insegna ad inglobare all’interno di Thunderbird altre risorse, nello specifico Google Wave e Google Voice, vale la pena dargli una occhiata se usate uno degli strumenti (o magari entrambi):

lifehacker.com/5426234/make-thunderbird-3-your-ultimate-onlineoffline-message-hub

Sembra proprio che non manchi nulla. Aggiornare Mozilla Thunderbird non è difficile, presto sarà necessario abbandonare il ramo 2 per ottenere ancora supporto e patch di sicurezza, conviene affrontare immediatamente il passaggio a fronte di un precedente backup dell’intera cartella del vostro profilo, potrebbe tornare utile ;)

Esiste a tal proposito un ottimo documento di supporto in SUMO, riferito nativamente a Firefox, valido però anche per Thunderbird (che differisce solo per posizione della cartella del profilo: %appdata%\Thunderbird per l’esattezza), dategli una occhiata: support.mozilla.com/it/kb/Effettuare+il+backup+dei+dati+personali

Il forum di Mozilla Italia è sempre e comunque a vostra disposizione per qualsiasi dubbio.

Buon lavoro.