TroutTrout
All docs

Configurar acceso FTP

Media FTP a través de Access Gate: concede acceso por enclave, fija los puertos de datos del modo pasivo y protege el servidor detrás de identidad con un access screen.

4 min read · Last updated 2026-06-19

FTP (File Transfer Protocol) mueve archivos entre un cliente y un servidor. Sigue siendo común en entornos industriales y heredados para transferir recetas, firmware, archivos de configuración e informes. De forma predeterminada es un protocolo en texto plano con autenticación débil o inexistente, y utiliza varios puertos de red para la transferencia de datos. Access Gate media FTP de modo que solo las personas y los sistemas correctos lleguen al servidor, y, con un access screen, únicamente después de autenticarse.

Qué Obtienes

Al publicar un activo FTP a través de un enclave, la puerta puede:

  • Autenticar al usuario primero mediante un access screen antes de que el servidor FTP sea accesible.
  • Limitar el acceso mediante ACL: solo los usuarios, grupos o roles que autorices llegan al servidor, y únicamente a través de los puertos que concedas.
  • Gestionar la resolución DNS, la autenticación y el registro en la puerta, de modo que el servidor heredado permanezca sin cambios en su lado y cada sesión quede registrada.

Configuración

  1. Añade el servidor FTP como activo y define su servicio FTP.
  2. Crea un enclave y concede acceso al usuario o grupo que lo necesite con una regla allow.
Managing an FTP enclave in Access Gate
Managing an FTP enclave in Access Gate

Cómo FTP Usa los Puertos

FTP es particular porque una sola sesión utiliza dos conexiones separadas:

1. Conexión de control (puerto 21), abierta primero por el cliente. Los comandos (USER, PASS, LIST, RETR, STOR) y sus respuestas viajan por aquí. Esta conexión permanece abierta durante toda la sesión.

2. Conexión de datos (un segundo puerto, separado), abierta por cada transferencia (un listado de directorio, una subida o descarga de archivo). La forma en que se elige ese segundo puerto se negocia y depende del modo:

  • Modo activo: del servidor al cliente. El cliente envía un comando PORT indicando al servidor a qué puerto del cliente debe volver a conectarse.
  • Modo pasivo: del cliente al servidor. El servidor responde a PASV con una IP y un puerto que ha abierto para esta transferencia.

Como el puerto de datos es dinámico, fíjalo a un rango conocido para que el enclave pueda autorizar exactamente esos puertos. Con vsftpd, por ejemplo, configura esto en /etc/vsftpd.conf para fijar el modo pasivo a un rango preciso de 3 puertos:

# Passive mode: pin data connection to a precise 3-port range
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=30002

Conforme a un enfoque Zero-Trust, se recomienda esta configuración de endurecimiento: un rango de puertos estrecho y conocido permite a la puerta autorizar solo los puertos que una transferencia necesita y nada más.

Añadir Identidad

En este caso concedimos acceso al grupo de IT, de modo que un usuario se autentica mediante un access screen antes de que el servidor sea accesible. Consulta Autenticar usuarios con access screens.

Access screen authentication
Access screen authentication

Una vez que el usuario se autentica, la conexión se establece, incluyendo la resolución DNS, la autenticación del usuario y el registro.

Connection to the FTP server established through Access Gate
Connection to the FTP server established through Access Gate

Resumen

Mediaste un servidor FTP a través de un enclave, fijaste los puertos de datos del modo pasivo a un rango conocido, y protegiste el acceso detrás de identidad con un access screen y una ACL.

Recurre a esto cuando un sitio aún dependa de FTP para la transferencia de archivos y necesites control de acceso, identidad y registro delante de un protocolo en texto plano y multipuerto, sin cambiar el servidor.

Relacionado

Previous
Configurar acceso Modbus