Portar och säkerhet - vill förstå mer

Hej!

Vill bara dubbelkolla att jag begriper detta med portar och säkerhet.

Om jag dirigerar om i routern så att:

1. port 21 > 2121 och att programmet lyssnar på 2121

2. port 2121 > 21 och att programmet lyssnar på 21

... är variant 1 säker eller osäker? Eller bör man köra med variant 2?

Jag funderar nämligen på att ha standardlösningar såsom FTP, Webbserver etc och vill helst slippa komma ihåg custom portnummer utan köra med default, men att man kan bibehålla god säkerhet.

Precis så menade jag. Vill helst slippa komma ihåg custom portar till olika lösningar. Men enligt vad du skriver så tycks icke standard portar vara den enda rätta lösningen om man kör FTP och troligen även Webbserver, eller hur? Om inte annat, så kanske webblösningen man kör har säkerhetshål och man riskerar exponera personlig data.

Tack för inputen. Har nu ändrat porten till 2121 och får en "Connection closed by server". Jag tror det har att göra med den andra porten du pratade om. Har även läst att det i regel är 20/21. Men vad öppnar man när man bytt från 21 till 2121?

Rörande säkerhet som jag var inne på så menar jag att man inte utsätter sig för samma risk om allt som förövaren behöver göra är att gå in på ens IP adress och ta sig igenom kända säkerhetshål i den webbapplikation man har installerad på exempelvis webbservern.

Ska besvara min egen fråga, för jag tror det löste sig.
När man ansluter till en FTP server så får man fram något i stil med

227 Entering Passive Mode (***,***,***,***,218,192)

Utifrån anvisningar på nätet har jag förstått att de två sista siffrorna står för ett portnummer och räknas fram så: 218*256+192= port nummer 56000 och således är det denna port man ska öppna vid sidan om den som ersätter 21.

Jag måste tillägga att jag inte fick det att funka på en gång. Sifferkombinationen i slutet av IP adressen ändrades från gång till gång vilket gav mig olika portnummer varje gång. Dp gick jag in i serverinställningarna (kör FileZilla Server) där man under Passive Mode Settings kunde ange "Use Custom port range". Här trodde jag man kunde få servern att "slumpa fram" något inom detta givna spann. Jag valde ett spann mellan 56000-57000.
När jag sedan anslöt på nytt så gick det hem och porten blev som ovan nämnd 56000, den första porten i spannet.
När jag loggade ut och loggade in igen fick jag inte fram "227 Entering Passive Mode" och jag vet därför inte om den fortsatte slumpa portar eller om den numera höll sig till 56000.

EDIT: Jag provade logga in med annat inlogg och sedan tillbaka till första inlogg. Varje gång jag gör så, så höjs portnumret med ett tal. Vet inte riktigt vad det är bra för och om jag borde begränsa spannet under serverinställningen.

Hoppas ovanstående hjälper någon annan som letar efter samma sak.

Vad jag undrar mer är detta rörande passive och active i FTP sammanhang. Har det någon betydelse?

Webbtjänsterna kommer inte vara öppna för allmänheten utan främst av mig. Skulle jag mot förmodan ge ut infon till bekanta, så kommer jag ge dem en URL med port.

Vad gäller skydd mot angrepp så tänker jag mig att en customport inte går att gissa sig till. Skulle man ha en webbtjänst med känt säkerhetshål öppet för angrepp så riskerar man exponera sina privata filer och dokument. Det var så jag tänkte.

Och tack för tipset om IP block. Måste ta fram diverse filter så att man garderar sig om en port mot förmodan gissas.

@Talisker00: Tack för dina svar. Jag såg att du besvarat några av frågorna redan innan jag ställde dem. När man håller på och lär sig något man inte kan händer det lätt att man förbiser fakta för att man inte kan ta in den.
Ska försöka förstå hur man får till active mode. Men kanske saknar det betydelse i slutändan och passive kan duga gott och väl.

Rörande portscannning, menar du att man kan scanna portar utifrån? Man behöver alltså inte ha tillgång till datorn?