Bonjour à tous,
 
J'ai remarqué une chose un peu spéciale en configurant un routeur/passerelle (Netgear DG814) chez un pote pour protéger son FTP.
 
J'ai la nette impression qu'une grande partie des routeurs dispos dans le commerce gèrent le mode passif du protocole FTP de base, sans configuration supplémentaire, à condition que le dit serveur FTP utilise bien le port 21.
 
En effet le mode passif requiert théoriquement l'ouverture au client du port 21 (canal de contrôle) + un ou plusieurs ports à paramétrer pour le transfert des données. Or à la fois mon serveur FTP et celui de mon pote fonctionnent en mode passif, en ne forwardant à travers nos passerelles respectives (lui un DG814, moi un RT314) que le port 21. Par contre, lorsque je m'amuse à changer le port du canal de contrôle (de 21 à 8021 par exemple) sur le serveur et à changer la configuration de port-forwarding sur la passerelle pour s'adapter, le mode passif ne fonctionne plus.
 
Vos opinions?

ton client se connecte bien sur le nouvo port?

---------------
Fane_CHP
http://www.aikidocvr.com
Powered by Debian GNU/Linux Sid / Kernel 2.6.14

 
Evidemment  
 
En fait, à partir du moment ou je change le port, la connexion initiale du client s'établit toujours correctement au service FTP, mais je n'ai plus accès au flux de données (pas de retour de listage du répertoire racine). Ce qui me fait tirer ces conclusions.

t'as essayé de balancer une commande type noop dans l'init pour voir s'il y a un retour?
 
EDIT: quel serveur FTP tu utilises? et quel client?

---------------
Fane_CHP
http://www.aikidocvr.com
Powered by Debian GNU/Linux Sid / Kernel 2.6.14

 
J'utilise Serv-U FTP Server.
 
Pour le client, c'est SmartFTP. Je n'ai pas utilisé la ligne de commande Windows car je n'ai pas trouvé le moyen de lui signaler d'attaquer le port 8021 (et je doute qu'elle gère le mode passif, à mon avis, elle se cantonne au mode actif).
 
Je viens de me dire que j'ai même pas testé le mode actif sur le port 8021 avec SmartFTP non plus...  

tes ports de transmission, ils sont proches de ton 8021?
et ton port forwarding tient-il compte de ces ports? (range)
 
EDIT le RT314, il ne s'attaque qu'en telnet non?

---------------
Fane_CHP
http://www.aikidocvr.com
Powered by Debian GNU/Linux Sid / Kernel 2.6.14

 
JUSTEMENT! Tu n'as pas compris le sens de mon post.  
 
Du point de vue théorique, en mode passif, il faut forwarder le port 21 pour le canal de contrôle, et une plage de ports à déterminer pour le transfert des données. Nous sommes d'accord.
 
MAIS : ayant fait pas mal de recherches sur la question, j'ai toujours été étonné par le fait que le mode passif fonctionne sur mon serveur et celui de mon pote, à travers nos routeurs, et sans effectuer d'autre forwarding que le port 21. Chez moi, j'avais pu tester BulletProof avant Serv-U, les deux en mode passif, cela fonctionnait sans autre paramétrage sur le routeur.
 
 
Or comme fait exprès, en changeant le port du canal de contrôle chez mon pote (à sa demande et pour raison de sécurité...), le mode passif ne marchait plus. Remise sur le port 21: ça remarchait (modification du port forwarding sur la passerelle à chaque fois bien sûr).
 
 
J'en venais donc à me demander si les firmwares de certains routeurs/passerelle n'étaient pas configurés pour prendre en compte automatiquement le mode passif du FTP dès détection d'un certain type de trafic sur le port 21...  
 
 
EDIT :
 

 
Interface web + telnet, le mode telnet est beaucoup plus puissant (et indispensable).

je me rappelle plus trop, dis moi si je dis des bitiz:
 
en passif, c'est le serveur qui ouvre les ports dont il a besoin non?
 
si on reste dans le standard, on a
 
port de contrôle: 21
 
le serveur ouvre le port de transmit sur N-1 soit le 20
 
si on passe dans ton systeme, le fait d'utiliser le 8021 en contrôle  implique l'ouverture du 8020 pour les data (à moins que tu lui spécifie d'autres ports, mais je sais pas si c'est le cas)
 
le problème c'est pitetre que le 8020 est bloqué par le routeur. essaye de l'ouvrir avec pour voir
 
 
 
EDIT tu n'as pas d'appz qui utilise le 8021 qui tourne par hasard (type zope ou d'autres...)?

---------------
Fane_CHP
http://www.aikidocvr.com
Powered by Debian GNU/Linux Sid / Kernel 2.6.14

 
Alors, c'est pas tout à fait ça.
 
* En mode passif, le client établit la connection sur le canal de contrôle (par défaut 21). Sur ce même canal, le serveur renvoie au client le port sur lequel ce dernier va devoir se connecter pour initier le transfert de données -- toutes les connections sont donc entrantes et à l'initiative du client, d'où la nécessité - théoriquement - de forwarder du routeur au serveur FTP non seulement le port 21, mais aussi la plage de ports possibles pour le canal de données. La plage de ports doit aller "par défaut" du port 1024 jusqu'à la fin des ports disponibles, mais généralement, le serveur possède une option permettant de contrôler cette plage.
 
* En mode actif (qui ne nous intéresse pas ici), le client se connecte toujours sur le port 21 (canal de contrôle), mais pour le canal de données c'est le serveur qui établit une connection en retour, à partir de son port 20, jusqu'à un port donné sur le client.
 
 

 
Non, bien entendu, sinon le serveur ne démarrerait même pas. En fait, depuis l'interface du serveur, je vois bien la connexion entrante du client sur le port 8021, mais celui-ci ne reçoit aucun retour.

 
J'ai dit une bêtise?

ah non non non non non
 
c'est ton problème qui me semble schlouck    
 
je dois te dire que j'ai jamais été confonté à ça
c'est vrai qu'après coup quand j'ai ouvert un accès vers FTP, j'avais ouvert que le 21. Mais j'avais pas essayé le passif

---------------
Fane_CHP
http://www.aikidocvr.com
Powered by Debian GNU/Linux Sid / Kernel 2.6.14

Je vois dans cette série d'échanges que j'ai encore beaucoup à progresser pour atteindre le niveau de Ryo-Ohki.
J'avais monté un premier ftp sans lui, tout seul à coup de tutoriels. Obsédé par la stabilité et la sécurité j'avais cherché mieux, et c'est là qu'il est arrivé.
Pour l'histoire, je dois dire que nous en avons parfois bavé. Zone Alarm par exemple.... Souvenirs souvenirs....

---------------
Miaoooowwww

 
Qq chose me dit que je connais plutôt bien cette personne, surtout une personne avec ce genre de pseudo.  
 
Ca va?  

Pas trop mal. Pas eu le temps de m'occuper des comptes. Semaine chargée. Intéressé par une place pour Tokkyo Godfather dimanche 17h00 FDI? Le serpent constricteur le conseille.
Bon je m'égare, ce n'est pas le sujet du post.
A+

 
Tu peux cliquer sur l'icone qui ressemble à celle d'Outlook Express pour envoyer un message privé.  

BOnjour j ai un petit prob un peu Différent.
J ai mis mon serveur FTP vsftp Sur ma Debian Sarge.
Qd les gens de l exterieur se connectent en mode console (Même sous Windows) il arrivent parfaitement a voir et a prendre les fichiers...
Par contre en avec un navigateur impossible.
Je c que ce ci est en rapport avec le mode passif mais je ne vois pas pasa quel nivo...
J ai essayé de rentrer les regles dans Iptables.
Il les a acceptéés mais Tjrs sans Succes...Merci de votre aide.
Flo

Un navigateur n'est pas fait pour gerer du ftp.
il faut utiliser un vrai client ftp et le configurer en mode passif
 
Ps jolie up

 
Je suis raide de rire. Je viens de faire une capture Ethereal d'une session avec Firefox sur ftp.slackware.at, et qu'est ce que je vois passer dans la transaction?
 
PASV
 
 

 
Ca fait donc de Firefox un client FTP tout à fait acceptable.
 
 
+1 pour le up, mais comme c'est mon topic, je vais pas le fermer    

Oui mais est ce que firefox arrive a reprendre un telechargement et surtout a upper sur le ftp?

 
  Je crois pas  

De toute facon il y a filezilla qui est tres bien

Bonjour,
 
je ne suis pas d'accord grimms.
Serv-U est un exellent serveur FTP trés bon marché et trés performant.
Filezilla est sympathique il est vrai , mais n'apporte pas toutes les solutions FTP que j'esperait.

tu esperait quoi alors ???
 

pas grave que tu ne soit pas d'accord avec moi, mais j'ai jamais dit que serv-u n'est pas un bon client ftp.
je disait juste que filezilla est d'un excelent rapport qualite/prix  0€    
 

 
a mon avis me contredire  

 
 
+1 pour le rapport qualité/prix  

Moyen bof l'intérêt du up de topic là...

+1 c'est fortement probable...  
 

Désolé d'avoir choqué la chronique , c'est juste qu'il n'y a pas que filezilla qui soit interessant.
Certes FileZilla est gratuit et performant , mais aprés il s'agit d'une question de choix.
Je suis sur Serv-U bien avant la sortie de FileZilla , donc je défend ce produit tout simplement.
Et puis il faut dire que je travaille dans l'informatique et que j'utilise d'avantage Serv-U comme solution FTP lors des installations que j'effectue.
Je ne suis pas là pour polimiquer.
Simplement , mentioner qu'il y a d'autres logiciels de serveur FTP

A dire vrai je trouve aussi FileZilla beaucoup trop limité,mais il a l'avantage d'être gratuit. Ici ce n'est pas un forum orienté professionnel et tout le monde n'a pas 40$ à investir dans une solution FTP pour un usage domestique.
 
Mais ce n'était de toutes façon pas l'objet de ma remarque. en général, les vieux topics morts, on les laisse dormir