FTP et firewall
Le
foo tche bol
Bonjour,
J'ai un petit probleme car j'utilise TYPSoft FTP serveur et j'ai ZApro
comme firewall.
Le probleme est que je suis obligé de desactiver ZA parce qu'il refuse
la connection du client.
Pourtant j'ai bien ouvert 20,21 en TCP et UDP.
Quand je donne le lien vers mon serveur j'avoute pourtant bien le :21
a la fin pour obliger la connexion sur le port 21.
Seulement les client d'en face se connecte soit sur 12,68, 74,
198,235,238,241,249,250,253.Ca se voit car mon serveur m'affin
l'IP du client + 2 chiffre a la fin (port ?) genre 80,xx,xx,xx,xx,port
D'ailleur je viens de me rendre compte a l'instant que c'est 4 chiffre
de plus. Actuelement c'est IP,13,74
Je ne sais pas comment faire.
Pouvez vous m'aider.
merci.
--
90 % des hommes politiques donnent une mauvaise
réputation aux 10 % qui restent.
J'ai un petit probleme car j'utilise TYPSoft FTP serveur et j'ai ZApro
comme firewall.
Le probleme est que je suis obligé de desactiver ZA parce qu'il refuse
la connection du client.
Pourtant j'ai bien ouvert 20,21 en TCP et UDP.
Quand je donne le lien vers mon serveur j'avoute pourtant bien le :21
a la fin pour obliger la connexion sur le port 21.
Seulement les client d'en face se connecte soit sur 12,68, 74,
198,235,238,241,249,250,253.Ca se voit car mon serveur m'affin
l'IP du client + 2 chiffre a la fin (port ?) genre 80,xx,xx,xx,xx,port
D'ailleur je viens de me rendre compte a l'instant que c'est 4 chiffre
de plus. Actuelement c'est IP,13,74
Je ne sais pas comment faire.
Pouvez vous m'aider.
merci.
--
90 % des hommes politiques donnent une mauvaise
réputation aux 10 % qui restent.
Poser une question
Est-ce que la connexion de contrôle se fait ? Ou le client ne peut pas
du tout se connecter ?
Le principe de la connexion FTP : le client ouvre une connexion
"principale", dite de contrôle, sur le port 21 du serveur. Une fois
cette connexion établie, il peut envoyer login et mot de passe, puis
d'autres commandes (CWD par exemple pour changer de répertoire).
Quand le client demande (toujours via cette connexion de contrôle) un
transfert de fichier, le serveur ouvre une connexion de données vers
le port 20 du client. Comme côté serveur, le port peut varier, le
serveur FTP doit donc pouvoir ouvrir une connexion sortante via
n'importe quel port, vers le port 20 du client.
Il me semble qu'il existe un autre mode (est-ce le mode passif ?) qui
fait que c'est le client qui ouvre une connexion de données vers le
serveur, mais je n'ai jamais testé.
Enfin bon, le mieux est encore d'ouvrir une connexion "à la main" (via
le FTP en ligne de commande par exemple), pour essayer de voir à quel
moment ça coince.
--
Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/
et http://www.aminautes.org/forums/ser...blefr.html
Archives : http://groups.google.com/advanced_group_search
http://www.usenet-fr.net/fur/usenet...senet.html
Non, en actif, c'est _depuis_ le port 20 de serveur, _vers_ un port non
privilégié du client, en général celui immédiatement supérieur à
celui utilisé pour le canal de commande.
C'est le client qui doit être joignable sur n'importe quel port non
privilégie, depuis un port 20.
En passif, c'est le client qui initie la connexion de données, en
utilisant un port non privilégié, vers un port non privilégié du serveur.
En gros, si on veut si on veut faire du FTP tranquille, il faut autoriser
les connexions :
TCP sortant >1023 vers 21 pour le canal de données
TCP entrant 20 vers >1023 pour le canal de données actif
TCP sortant >1023 vers >1023 pour le canal de données passif.
--
FB: Euh, c'est quoi les conférences fidonet ?
FK: C'est pour ceux qui préfèrent les chiens aux drosophiles.
-+- in: Guide du Cabaliste Usenet - La SPA vaincra ! -+-
Le FTP c'est pourtant bien le 20 et 21 ?
Comment forcer ces port et pas les autres ?
Oui mais ca doit etre pareil, non ? il peut se connecté sur n'importe
quel port a ce moment là...
Sans le firewall ca marche.
Le probleme vient de lui. Si je veux que ca marche, soit je desactive
le firewall soit j'ouvre tous les ports.
--
90 % des hommes politiques donnent une mauvaise
réputation aux 10 % qui restent.
OK.
Non. En mode actif, le serveur envoie une demande de connexion à partir
de son propre port 20 (privilégié) source vers un port destination
(généralement non privilégié puisque le logiciel client n'est pas censé
avoir des droits spéciaux) que le client ouvre en écoute et dont il a
transmis le numéro au serveur dans la commande PORT.
Voilà. Les navigateurs web qui savent faire du FTP utilisent
généralement le mode passif car il passe plus facilement à travers les
firewalls côté client. Par contre la mise en place d'un firewall côté
serveur est plus délicate car le port de la connexion de données à
ouvrir est variable.
Pourquoi est elle variable ?
N'y a t il pas un moyen de la rendre fixe en l'imposant par le serveur
?
--
90 % des hommes politiques donnent une mauvaise
réputation aux 10 % qui restent.