Start-MiniFtpServer

ÜBERSICHT

Minimaler FTP-Server in PowerShell 5.1. Multi-Session (RunspacePool), PASV/EPSV (nur Passive Mode), optionale Auth (USER/PASS), UTF-8 auf der Kontrollverbindung, Datei-Infos (SIZE/MDTM), Umbenennen (RNFR/RNTO), STAT-Listing über Control, Datei-Checksummen (HASH; XMD5/XSHA1/XSHA256; OPTS HASH ...), Auto-Stop (Default 60 Minuten), IP-Allowlist (Einzel-IPs oder CIDR).

SYNTAX

Start-MiniFtpServer [[-Root] <string>] [[-Port] <int>] [[-User] <string>] [[-Password] <string>]
    [[-ListenAddress] <string>] [[-PassivePorts] <int[]>] [[-MaxSessions] <int>]
    [[-AutoStopMinutes] <int>] [[-AllowedClientIPs] <string[]>] [<CommonParameters>]

BESCHREIBUNG

Zweck

• Ad-hoc-Support-FTP ohne Installation eines Windows-Dienstes.
• Der Server arbeitet ausschließlich im Passivmodus (PASV/EPSV). Active Mode (PORT) ist nicht implementiert.

Warum Passivmodus

• Im Passivmodus baut der Client alle TCP-Verbindungen selbst auf (Control und Data).
• Vorteil: Funktioniert typischerweise hinter NAT/Firewalls, da nur ausgehende Verbindungen vom Client nötig sind.
• Der Server öffnet neben dem Kommunikationsport 21 bzw. 2121 speziell für Datentransfers Ports aus einer definierten Passiv-Range (z.B. 50000 ..).
• EPSV (= Erweiterter Passiver Modus) wird bevorzugt, funktioniert auch mit IPv6 und vermeidet IP-Transport in der Antwort.

Ports, Firewall, NAT

• Control-Port: standardmäßig `-Port 2121` (alternativ 21; Ports <1024 erfordern Administratorrechte).
• Data-Ports (Passiv-Range): per `-PassivePorts` definierbar. Wenn leer, setzt der Server einen sinnvollen Default: ungefähr `MaxSessions*4`, mindestens 8 Ports, beginnend ab 50000 (Beispiel: 50000-50011 bei MaxSessions=3).
• Server-Firewall: Control-Port INBOUND ermöglichen; Passiv-Range INBOUND ermöglichen.
• Router/NAT (Server hinter NAT): Control-Port und Passiv-Range an die interne Server-IP weiterleiten. Ohne Portweiterleitung ist ein externer Zugriff aus dem Internet nicht möglich.
• Public Static IP ist nicht zwingend. Es geht auch mit dynamischer IP plus DynDNS, solange Portweiterleitungen korrekt sind. Achtung bei CGNAT: Portweiterleitungen sind dann oft nicht möglich.

Client-Anforderungen

• Client-Firewall: Ausgehende TCP-Verbindungen zum Control-Port und zur Passiv-Range des Servers erlauben.
• Passive Mode im Client aktivieren (Standard bei modernen Clients).
• Wenn der Server 2121 nutzt (default) muss dies beim Client in der Verbindung angegeben werden, FileZilla hat da ein eigenes Port-Feld.

Sicherheit

• Optionale Authentifizierung mit `-User` und `-Password`.
• Optionale IP-Allowlist via `-AllowedClientIPs` (Einzel-IPs und/oder CIDR). Nicht erlaubte Verbindungen werden mit "530 Not allowed" abgewiesen, bevor eine Session startet.
• Auto-Stop reduziert das geöffnete Zeitfenster. Default 60 Minuten; `-AutoStopMinutes 0` deaktiviert.
• Root-Sandbox: Alle Dateioperationen bleiben strikt unterhalb `-Root`.

Interner Ablauf (Kurzübersicht)

• Listener (TCP) auf `-ListenAddress`/`-Port` starten.
• Passiv-Range setzen (Default oder Custom) und loggen.
• Ctrl+C-Handler registrieren (graceful shutdown).
• RunspacePool für parallele Sessions erstellen.

Hauptloop

• Deadline (Auto-Stop) prüfen.
• Abgeschlossene Sessions aufräumen.
• Pending akzeptieren, Remote-IP ermitteln.
• IP-Allowlist prüfen; ggf. mit "530 Not allowed" ablehnen.
• Session-Code im Pool starten (pro Control-Verbindung).

Session-Code

• Kommandos: USER, PASS, SYST, FEAT, OPTS (UTF8 ON|OFF, HASH [ALGO]), PWD, CWD, LIST, NLST, TYPE, PASV, EPSV, RETR, STOR, DELE, MKD, RMD, SIZE, MDTM, RNFR, RNTO, STAT, HASH, XMD5, XSHA1, XSHA256, NOOP, QUIT.
• Bei PASV/EPSV wird pro Datentransfer ein TCP-Listener auf einem Port aus der Passiv-Range (oder Ephemeral) geöffnet.

* Pfadnormalisierung stellt sicher, daß nichts außerhalb des `-Root` erreichbar ist.

• Shutdown

* Listener stoppen, Sessions beenden, Pool dispose, Ctrl+C-Handler deregistrieren.

PARAMETER

-Root

Type: string
Default: $PWD.Path

Optionales Wurzelverzeichnis (Sandbox). Alle Dateioperationen sind auf dieses Verzeichnis und seine Childs beschränkt. Falls nicht angegeben, wird das aktuelle Arbeitsverzeichnis verwendet.

-Port

Type: int
Default: 2121

Control-Port (TCP) für den FTP-Server. Default 2121. Hinweis: Ports <1024 erfordern auf Windows Administratorrechte.

-User

Type: string

Optionaler Benutzername. Wird nur geprüft, wenn auch `-Password` gesetzt ist.

-Password

Type: string

Optionales Passwort. Wird nur geprüft, wenn auch `-User` gesetzt ist.

-ListenAddress

Type: string
Default: '0.0.0.0'

IP-Adresse, auf der der Control-Listener bindet. Default `0.0.0.0` (alle IPv4-Interfaces).

-PassivePorts

Type: int[]
Default: $null

Liste bzw. Range von TCP-Ports für passive Datenverbindungen (z. B. `50000..50011`). Wenn nicht angegeben, setzt der Server einen Default: Start 50000, Anzahl ca. `MaxSessions*4` (mindestens 8 Ports).

-MaxSessions

Type: int
Default: 3

Maximale parallele Control-Sessions (RunspacePool MaxSize). Default 3.

-AutoStopMinutes

Type: int
Default: 60

Minuten bis zur automatischen Selbstabschaltung. `0` deaktiviert. Default 60.

-AllowedClientIPs

Type: string[]
Default: $null

Optional. Liste von erlaubten Client-IPs oder CIDR-Netzen (IPv4/IPv6). Beispiele:

• Einzel-IP: `84.137.55.101`
• CIDR: `203.0.113.0/24` Verbindungen aus nicht erlaubten Netzen werden mit "530 Not allowed" direkt abgewiesen.

AUSGABEN

none

Keine Rückgabe. Die Funktion läuft bis Auto-Stop, Strg+C oder Aufruf von Stop-MiniFtpServer.

BEISPIELE

# Minimalstart mit Defaults (Control 2121, Passiv-Range Default 50000-50011 bei MaxSessions=3)
Start-MiniFtpServer -Root C:\Temp

# Eigene Passiv-Range und 5 parallele Sessions
Start-MiniFtpServer -Root C:\Temp -Port 2121 -MaxSessions 5 -PassivePorts (50000..50031)

# Benutzer/Passwort aktivieren
Start-MiniFtpServer -Root C:\Temp -User support -Password secret

# Zwei konkrete Public-IPs erlauben (und sonst niemanden)
Start-MiniFtpServer -Root C:\Temp -AllowedClientIPs @('84.137.55.101','198.51.100.23')

# Ein Netz plus eine Einzel-IP erlauben
Start-MiniFtpServer -Root C:\Temp -AllowedClientIPs @('203.0.113.0/24','84.137.55.101')

# Hinter NAT/Router (Server im LAN):
# 1) Am Router Port-Forwarding einrichten: Control-Port (z. B. 2121) und Passiv-Range (z. B. 50000-50011) auf die interne Server-IP.
# 2) In der Windows-Firewall die gleichen Ports INBOUND erlauben.
# 3) DynDNS oder Public IP an den Client kommunizieren.
Start-MiniFtpServer -Root C:\Temp -PassivePorts (50000..50011)

# Automatische Abschaltung nach 30 Minuten
Start-MiniFtpServer -Root C:\Temp -AutoStopMinutes 30

HINWEISE

Windows-Firewall-Beispiele (Server):

New-NetFirewallRule -DisplayName 'MiniFTP Control' -Direction Inbound -Protocol TCP -LocalPort 2121 -Action Allow

New-NetFirewallRule -DisplayName 'MiniFTP Passive' -Direction Inbound -Protocol TCP -LocalPort 50000-50011 -Action Allow

Port 21 verwenden