FTP-IIS-LiveBox:que LocalHost ?

Le
Theox
Bonjour

Mon serveur FTP IIS sous WXP Pro est bancal
Il fonctionne depuis le pc qui heberge lIIS
ftp://localhost ==> Ok
ftp://192.168.1.1 ==> Ok

Mais si
ftp://IP(FAI) ==> Ko
ftp://NomDomaine.COm ==> Ko

Je suis derriere une LiveBox
Redirection port 21 Ok
ParFeu Windows port 21 Ok
IIS ecoute le port 21

en fait, en venant de l'exterieur, je me connecte bien(identification Ok),
mais le serveur ne me permet pas de voir le contenu des dossiers auxquels je
suis sensé acceder
Les autorisations sont Ok(il me semble)

Aurais je oublié un truc ?
Avant meme config mais sur un autre PC(moins performant), et derriere une
FreeBox, ca marchait nickel

Une piste ?

Merci d'avance
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Olivier Laymand [MS]
Le #11346411
Bonjour

Le protocol FTP est un peu complexe. Les échanges de données ont lieu sur le
port 20 et pas sur le port 21.

Le port 21 permet de se connecter et d'échanger les authentifications, donc
cela fonctionne dans votre cas.
Par contre, dès que des données sont transférées, y comprise les listages de
répertoires, cela passe sur le port 20.

Vous pouvez trouver sur le web certaines pages permettant de faire la
configuration de votre Livebox, par exemple, celle-ci:
http://www.didierg.com/lbgeeks/article.php3?id_article

-
Olivier



"Theox" news:
Bonjour

Mon serveur FTP IIS sous WXP Pro est bancal
Il fonctionne depuis le pc qui heberge lIIS
ftp://localhost ==> Ok
ftp://192.168.1.1 ==> Ok

Mais si
ftp://IP(FAI) ==> Ko
ftp://NomDomaine.COm ==> Ko

Je suis derriere une LiveBox
Redirection port 21 Ok
ParFeu Windows port 21 Ok
IIS ecoute le port 21

en fait, en venant de l'exterieur, je me connecte bien(identification Ok),
mais le serveur ne me permet pas de voir le contenu des dossiers auxquels
je
suis sensé acceder
Les autorisations sont Ok(il me semble)

Aurais je oublié un truc ?
Avant meme config mais sur un autre PC(moins performant), et derriere une
FreeBox, ca marchait nickel

Une piste ?

Merci d'avance


jbongran
Le #11346401
Olivier Laymand [MS] wrote:
Bonjour

Le protocol FTP est un peu complexe. Les échanges de données ont lieu
sur le port 20 et pas sur le port 21.

Le port 21 permet de se connecter et d'échanger les
authentifications, donc cela fonctionne dans votre cas.
Par contre, dès que des données sont transférées, y comprise les
listages de répertoires, cela passe sur le port 20.

Vous pouvez trouver sur le web certaines pages permettant de faire la
configuration de votre Livebox, par exemple, celle-ci:
http://www.didierg.com/lbgeeks/article.php3?id_article

-
Olivier



"Theox" news:
Bonjour

Mon serveur FTP IIS sous WXP Pro est bancal
Il fonctionne depuis le pc qui heberge lIIS
ftp://localhost ==> Ok
ftp://192.168.1.1 ==> Ok

Mais si
ftp://IP(FAI) ==> Ko
ftp://NomDomaine.COm ==> Ko

Je suis derriere une LiveBox
Redirection port 21 Ok
ParFeu Windows port 21 Ok
IIS ecoute le port 21

en fait, en venant de l'exterieur, je me connecte
bien(identification Ok), mais le serveur ne me permet pas de voir le
contenu des dossiers auxquels je
suis sensé acceder
Les autorisations sont Ok(il me semble)

Aurais je oublié un truc ?
Avant meme config mais sur un autre PC(moins performant), et
derriere une FreeBox, ca marchait nickel

Une piste ?

Merci d'avance





Euh, pas tout à fait comme cela que fonctionne le FTP.
Cela est souvent expliqué comme cela sur les tutoriaux internet, et c'est
une ERREUR qui conduit très souvent à faire ouvrir le port 20 côté client.
Je le repète c'est une ERREUR.
j'ai déjà à maintes reprises expliqué tout cela dans ce newsgroup, mais bon,
c'est pour la bonne cause, alors allons-y:
Le FTP connait deux modes:

L'actif (c'est le mode utilisé par exemple par ftp.exe en ligne de commande)
Le client se connecte depuis un port c (> 1024 vers le port s (port 21 par
défaut sur le serveur) et s'authentifie. C'est la connexion "commande"
Une fois authentifié le serveur se connectera du port s -1 (donc par défaut
le port 20 du serveur) vers le port c +1 du serveur. Il s'agit de la
connexion "Datas"

Le passif:
Le client se connecte depuis un port c (> 1024 vers le port s (port 21 par
défaut sur le serveur) et s'authentifie. C'est la connexion "commande"
Une fois authentifié, le client envoie la commande PASV, le serveur répond
en indiquant l'adresse IP et le port s' sur lequel il attendra la connexion.
Le client se connecte depuis le port c +1 vers le port retourné par le
serveur. C'est la connexion "Datas"

Concrètement, côté firewall :
En mode actif
côté serveur, il faut juste autoriser le port 21 entrant, et le serveur ftp
à SORTIR depuis le port 20 vers n'importe quel port > 1024
Côté client, il faut autoriser n'importe quel port > 1024 à sortir vers le
port 21, et autoriser le port 20 à entrer vers n'importe quel port > 1024.
AIlez, c'est la fête !

En mode passif:
côté serveur, il faut juste autoriser le port 21 entrant ET n'importe quel
port > 1024. Allez c'est la fête !
Côté client, il suffit que le client FTP puisse sortir depuis n'importe quel
port > 1024 et vers n'importe quel ports > 1024.

De plus comme on l'aura compris, si le serveur FTP est derrière un NAT, cela
pose un souci puisque l'adresse IP privée se trouve dans la réponse faite à
la commande PASV. On donne le plan IP privée, ce qui n'est pas terrible, et
le client ne peut se connecter sur cette dernière.

Solution côté serveur: il FAUT un firewall/routeur/*Box avec un NAT
"applicatif".
C'est à dire un produit capable lorsque l'on forward le port 21, de regarder
entre autre, l'adresse IP à l'interieur du paquet en réponse à la commande
PASV afin de la remplacer par l'IP publique ET de n'accepter (c'est à dire
ouvrir un port) une connexion d'un port > 1024 vers un port > 1024 QUE si
cette demande de connexion est RELATIVE a une connexion déja établie sur le
port 21.
Ce que fait la freebox ;-)

Ps: quasiment aucun produit grand public ne permet depuis le Lan privé de
forwarder vers le Lan privé quand on lui demande son IP publique (ou le nom
de domaine internet c'est pareil), c'est "by design".

Pour tester un serveur FTP, soit il faut avoir deux lignes d'accès à
internet distinctes, soit avoir un ami ayant un accès internet et (beaucoup)
de temps à perdre, soit utiliser ce site (il doit y en avoir d'autres, mais
celui-ci fonctionne)
http://www.g6ftpserver.com/fr/ftptest
Forums
Le #11346391
Merci pour vos lumieres.

J'ai fait tout bien comme il a dit le meussier, dans son explicatif Port 20
et 21
ParFeu LiveBox et tout, mais toujours IDEM

J'ai encore ma freebox, alors je l'ai rebranchée pour verifier qu'avec une
autre ip, mon serveur FTP serait
accessible normalement, mais toujours rien.

Dans les 2 cas c'est comme avant, en fait le serveur me voit, me reconnait,
Login et user, Ok
mais il semble refuser de me permettre de voir le contenu des dossiers,
aucun fichier, ni dossier,
j'arrive meme a me deconnecter !)

Finallement en desacivant les parefeu 1 par 1, je sais que c'est celui de
Windows qui embete mon Serveur.

Il se pourrait qu'avec la freebox, j'avais desactiver aussi le parfeu
windows sur le PC serveur,
mais je m'en souviens plus, et le disq est mort.

Mais j'ai des scrupules a desactiver ce parfeu(meme si j'en ai un autre, en
plus de celui de la livebox)

Voici qd meme ce que me donne le site http://www.g6ftpserver.com/ftptest
(avec le parefeu windows activer, ou non, il me semble que ca donne
exactement la meme chose)

* About to connect() to Domaine.com port 21
* Trying "IP public LiveBox"... connected
* Connected to Domaine.com ("IP public LiveBox") port 21
< 220-Microsoft FTP Service
< Domaine.Com
< 220 Domaine FTP

USER anonymous


< 331 Anonymous access allowed, send identity (e-mail name) as password.

PASS *****


< 230-Bonjour, Domaine.Com est heureux de vous accueillir.
< 230 Anonymous user logged in.

PWD


< 257 "/" is current directory.
* Entry path is '/'

CLNT Testing from http://www.g6ftpserver.com/ftptest from IP "IpFreeBox"


< 500 'CLNT Testing from http://www.g6ftpserver.com/ftptest from IP
"IpFreeBox"': command not understood
* QUOT command failed with 500
* Connection #0 to host domaine.com left intact

* Closing connection #0

J'aimerais savoir pourquoi le pare feu Windows, empeche le bon
fonctionnement du serveur FTP de IIS

Merci pour vos pistes

--
"jbongran"
Olivier Laymand [MS] wrote:
Bonjour

Le protocol FTP est un peu complexe. Les échanges de données ont lieu
sur le port 20 et pas sur le port 21.

Le port 21 permet de se connecter et d'échanger les
authentifications, donc cela fonctionne dans votre cas.
Par contre, dès que des données sont transférées, y comprise les
listages de répertoires, cela passe sur le port 20.

Vous pouvez trouver sur le web certaines pages permettant de faire la
configuration de votre Livebox, par exemple, celle-ci:
http://www.didierg.com/lbgeeks/article.php3?id_article

-
Olivier



"Theox" news:
Bonjour

Mon serveur FTP IIS sous WXP Pro est bancal
Il fonctionne depuis le pc qui heberge lIIS
ftp://localhost ==> Ok
ftp://192.168.1.1 ==> Ok

Mais si
ftp://IP(FAI) ==> Ko
ftp://NomDomaine.COm ==> Ko

Je suis derriere une LiveBox
Redirection port 21 Ok
ParFeu Windows port 21 Ok
IIS ecoute le port 21

en fait, en venant de l'exterieur, je me connecte
bien(identification Ok), mais le serveur ne me permet pas de voir le
contenu des dossiers auxquels je
suis sensé acceder
Les autorisations sont Ok(il me semble)

Aurais je oublié un truc ?
Avant meme config mais sur un autre PC(moins performant), et
derriere une FreeBox, ca marchait nickel

Une piste ?

Merci d'avance





Euh, pas tout à fait comme cela que fonctionne le FTP.
Cela est souvent expliqué comme cela sur les tutoriaux internet, et c'est
une ERREUR qui conduit très souvent à faire ouvrir le port 20 côté client.
Je le repète c'est une ERREUR.
j'ai déjà à maintes reprises expliqué tout cela dans ce newsgroup, mais
bon, c'est pour la bonne cause, alors allons-y:
Le FTP connait deux modes:

L'actif (c'est le mode utilisé par exemple par ftp.exe en ligne de
commande)
Le client se connecte depuis un port c (> 1024 vers le port s (port 21 par
défaut sur le serveur) et s'authentifie. C'est la connexion "commande"
Une fois authentifié le serveur se connectera du port s -1 (donc par
défaut le port 20 du serveur) vers le port c +1 du serveur. Il s'agit de
la connexion "Datas"

Le passif:
Le client se connecte depuis un port c (> 1024 vers le port s (port 21 par
défaut sur le serveur) et s'authentifie. C'est la connexion "commande"
Une fois authentifié, le client envoie la commande PASV, le serveur répond
en indiquant l'adresse IP et le port s' sur lequel il attendra la
connexion.
Le client se connecte depuis le port c +1 vers le port retourné par le
serveur. C'est la connexion "Datas"

Concrètement, côté firewall :
En mode actif
côté serveur, il faut juste autoriser le port 21 entrant, et le serveur
ftp à SORTIR depuis le port 20 vers n'importe quel port > 1024
Côté client, il faut autoriser n'importe quel port > 1024 à sortir vers le
port 21, et autoriser le port 20 à entrer vers n'importe quel port > 1024.
AIlez, c'est la fête !

En mode passif:
côté serveur, il faut juste autoriser le port 21 entrant ET n'importe quel
port > 1024. Allez c'est la fête !
Côté client, il suffit que le client FTP puisse sortir depuis n'importe
quel port > 1024 et vers n'importe quel ports > 1024.

De plus comme on l'aura compris, si le serveur FTP est derrière un NAT,
cela pose un souci puisque l'adresse IP privée se trouve dans la réponse
faite à la commande PASV. On donne le plan IP privée, ce qui n'est pas
terrible, et le client ne peut se connecter sur cette dernière.

Solution côté serveur: il FAUT un firewall/routeur/*Box avec un NAT
"applicatif".
C'est à dire un produit capable lorsque l'on forward le port 21, de
regarder entre autre, l'adresse IP à l'interieur du paquet en réponse à la
commande PASV afin de la remplacer par l'IP publique ET de n'accepter
(c'est à dire ouvrir un port) une connexion d'un port > 1024 vers un port
> 1024 QUE si cette demande de connexion est RELATIVE a une connexion déja
établie sur le port 21.
Ce que fait la freebox ;-)

Ps: quasiment aucun produit grand public ne permet depuis le Lan privé de
forwarder vers le Lan privé quand on lui demande son IP publique (ou le
nom de domaine internet c'est pareil), c'est "by design".

Pour tester un serveur FTP, soit il faut avoir deux lignes d'accès à
internet distinctes, soit avoir un ami ayant un accès internet et
(beaucoup) de temps à perdre, soit utiliser ce site (il doit y en avoir
d'autres, mais celui-ci fonctionne)
http://www.g6ftpserver.com/fr/ftptest



jbongran
Le #11346381
Forums wrote:
Merci pour vos lumieres.

J'ai fait tout bien comme il a dit le meussier, dans son explicatif
Port 20 et 21
ParFeu LiveBox et tout, mais toujours IDEM

J'ai encore ma freebox, alors je l'ai rebranchée pour verifier
qu'avec une autre ip, mon serveur FTP serait
accessible normalement, mais toujours rien.

Dans les 2 cas c'est comme avant, en fait le serveur me voit, me
reconnait, Login et user, Ok
mais il semble refuser de me permettre de voir le contenu des
dossiers, aucun fichier, ni dossier,
j'arrive meme a me deconnecter !)

Finallement en desacivant les parefeu 1 par 1, je sais que c'est
celui de Windows qui embete mon Serveur.

Il se pourrait qu'avec la freebox, j'avais desactiver aussi le parfeu
windows sur le PC serveur,
mais je m'en souviens plus, et le disq est mort.

Mais j'ai des scrupules a desactiver ce parfeu(meme si j'en ai un
autre, en plus de celui de la livebox)

Voici qd meme ce que me donne le site
http://www.g6ftpserver.com/ftptest (avec le parefeu windows activer,
ou non, il me semble que ca donne exactement la meme chose)

* About to connect() to Domaine.com port 21
* Trying "IP public LiveBox"... connected
* Connected to Domaine.com ("IP public LiveBox") port 21
< 220-Microsoft FTP Service
< Domaine.Com
< 220 Domaine FTP

USER anonymous


< 331 Anonymous access allowed, send identity (e-mail name) as
password.
PASS *****


< 230-Bonjour, Domaine.Com est heureux de vous accueillir.
< 230 Anonymous user logged in.

PWD


< 257 "/" is current directory.
* Entry path is '/'

CLNT Testing from http://www.g6ftpserver.com/ftptest from IP
"IpFreeBox"


< 500 'CLNT Testing from http://www.g6ftpserver.com/ftptest from IP
"IpFreeBox"': command not understood
* QUOT command failed with 500
* Connection #0 to host domaine.com left intact

* Closing connection #0

J'aimerais savoir pourquoi le pare feu Windows, empeche le bon
fonctionnement du serveur FTP de IIS

Merci pour vos pistes

Olivier Laymand [MS] wrote:
Bonjour

Le protocol FTP est un peu complexe. Les échanges de données ont
lieu sur le port 20 et pas sur le port 21.

Le port 21 permet de se connecter et d'échanger les
authentifications, donc cela fonctionne dans votre cas.
Par contre, dès que des données sont transférées, y comprise les
listages de répertoires, cela passe sur le port 20.

Vous pouvez trouver sur le web certaines pages permettant de faire
la configuration de votre Livebox, par exemple, celle-ci:
http://www.didierg.com/lbgeeks/article.php3?id_article

-
Olivier



"Theox" news:
Bonjour

Mon serveur FTP IIS sous WXP Pro est bancal
Il fonctionne depuis le pc qui heberge lIIS
ftp://localhost ==> Ok
ftp://192.168.1.1 ==> Ok

Mais si
ftp://IP(FAI) ==> Ko
ftp://NomDomaine.COm ==> Ko

Je suis derriere une LiveBox
Redirection port 21 Ok
ParFeu Windows port 21 Ok
IIS ecoute le port 21

en fait, en venant de l'exterieur, je me connecte
bien(identification Ok), mais le serveur ne me permet pas de voir
le contenu des dossiers auxquels je
suis sensé acceder
Les autorisations sont Ok(il me semble)

Aurais je oublié un truc ?
Avant meme config mais sur un autre PC(moins performant), et
derriere une FreeBox, ca marchait nickel

Une piste ?

Merci d'avance





Euh, pas tout à fait comme cela que fonctionne le FTP.
Cela est souvent expliqué comme cela sur les tutoriaux internet, et
c'est une ERREUR qui conduit très souvent à faire ouvrir le port 20
côté client. Je le repète c'est une ERREUR.
j'ai déjà à maintes reprises expliqué tout cela dans ce newsgroup,
mais bon, c'est pour la bonne cause, alors allons-y:
Le FTP connait deux modes:

L'actif (c'est le mode utilisé par exemple par ftp.exe en ligne de
commande)
Le client se connecte depuis un port c (> 1024 vers le port s (port
21 par défaut sur le serveur) et s'authentifie. C'est la connexion
"commande" Une fois authentifié le serveur se connectera du port s -1
(donc par
défaut le port 20 du serveur) vers le port c +1 du serveur. Il
s'agit de la connexion "Datas"

Le passif:
Le client se connecte depuis un port c (> 1024 vers le port s (port
21 par défaut sur le serveur) et s'authentifie. C'est la connexion
"commande" Une fois authentifié, le client envoie la commande PASV, le
serveur
répond en indiquant l'adresse IP et le port s' sur lequel il
attendra la connexion.
Le client se connecte depuis le port c +1 vers le port retourné par
le serveur. C'est la connexion "Datas"

Concrètement, côté firewall :
En mode actif
côté serveur, il faut juste autoriser le port 21 entrant, et le
serveur ftp à SORTIR depuis le port 20 vers n'importe quel port >
1024 Côté client, il faut autoriser n'importe quel port > 1024 à sortir
vers le port 21, et autoriser le port 20 à entrer vers n'importe
quel port > 1024. AIlez, c'est la fête !

En mode passif:
côté serveur, il faut juste autoriser le port 21 entrant ET
n'importe quel port > 1024. Allez c'est la fête !
Côté client, il suffit que le client FTP puisse sortir depuis
n'importe quel port > 1024 et vers n'importe quel ports > 1024.

De plus comme on l'aura compris, si le serveur FTP est derrière un
NAT, cela pose un souci puisque l'adresse IP privée se trouve dans
la réponse faite à la commande PASV. On donne le plan IP privée, ce
qui n'est pas terrible, et le client ne peut se connecter sur cette
dernière. Solution côté serveur: il FAUT un firewall/routeur/*Box avec un
NAT
"applicatif".
C'est à dire un produit capable lorsque l'on forward le port 21, de
regarder entre autre, l'adresse IP à l'interieur du paquet en
réponse à la commande PASV afin de la remplacer par l'IP publique ET
de n'accepter (c'est à dire ouvrir un port) une connexion d'un port
> 1024 vers un port > 1024 QUE si cette demande de connexion est
RELATIVE a une connexion déja établie sur le port 21.
Ce que fait la freebox ;-)

Ps: quasiment aucun produit grand public ne permet depuis le Lan
privé de forwarder vers le Lan privé quand on lui demande son IP
publique (ou le nom de domaine internet c'est pareil), c'est "by
design". Pour tester un serveur FTP, soit il faut avoir deux lignes
d'accès à
internet distinctes, soit avoir un ami ayant un accès internet et
(beaucoup) de temps à perdre, soit utiliser ce site (il doit y en
avoir d'autres, mais celui-ci fonctionne)
http://www.g6ftpserver.com/fr/ftptest





NON PAS LE PORT 20 ! scrogneugneu :-(
C'est exactement ce que j'indiquai dans mon post comme à NE PAS faire.
Dans le pare feu de windows, autoriser non pas le ou les ports (puisqu'il
faudrait ouvrir TOUS les ports > 1024 comme expliqué dans mon post
précédent), mais le fichier exécutable du serveur ftp (de mémoire c'est
inetinfo.exe, mais pour être sûr, dans les paramètre du parefeu, activer le
journal, par défaut dans C:WINDOWSpfirewall.log, ou faire un netstat -anbp
tcp et regarder "qui" écoute le port 21)
En ce qui concerne le test de gene6, la commande clnT ne semble pas être
comprise du serveur ftp IIS (ni de warftp d'ailleurs)
Essayes celui-ci:
http://www.hq42.net/net_tools/test_ftp_server.php
Il doit au minimu afficher le listing du repertoire racine

Ps merci de répondre à la fin des messages :-)
Réponse: parce que
Question: Pourquoi ?
Réponse: Oui
Question: Vous êtes sûr ?
smk
Le #11346331
"jbongran"
Forums wrote:
Merci pour vos lumieres.

J'ai fait tout bien comme il a dit le meussier, dans son explicatif
Port 20 et 21
ParFeu LiveBox et tout, mais toujours IDEM

J'ai encore ma freebox, alors je l'ai rebranchée pour verifier
qu'avec une autre ip, mon serveur FTP serait
accessible normalement, mais toujours rien.

Dans les 2 cas c'est comme avant, en fait le serveur me voit, me
reconnait, Login et user, Ok
mais il semble refuser de me permettre de voir le contenu des
dossiers, aucun fichier, ni dossier,
j'arrive meme a me deconnecter !)

Finallement en desacivant les parefeu 1 par 1, je sais que c'est
celui de Windows qui embete mon Serveur.

Il se pourrait qu'avec la freebox, j'avais desactiver aussi le parfeu
windows sur le PC serveur,
mais je m'en souviens plus, et le disq est mort.

Mais j'ai des scrupules a desactiver ce parfeu(meme si j'en ai un
autre, en plus de celui de la livebox)

Voici qd meme ce que me donne le site
http://www.g6ftpserver.com/ftptest (avec le parefeu windows activer,
ou non, il me semble que ca donne exactement la meme chose)

* About to connect() to Domaine.com port 21
* Trying "IP public LiveBox"... connected
* Connected to Domaine.com ("IP public LiveBox") port 21
< 220-Microsoft FTP Service
< Domaine.Com
< 220 Domaine FTP

USER anonymous


< 331 Anonymous access allowed, send identity (e-mail name) as
password.
PASS *****


< 230-Bonjour, Domaine.Com est heureux de vous accueillir.
< 230 Anonymous user logged in.

PWD


< 257 "/" is current directory.
* Entry path is '/'

CLNT Testing from http://www.g6ftpserver.com/ftptest from IP
"IpFreeBox"


< 500 'CLNT Testing from http://www.g6ftpserver.com/ftptest from IP
"IpFreeBox"': command not understood
* QUOT command failed with 500
* Connection #0 to host domaine.com left intact

* Closing connection #0

J'aimerais savoir pourquoi le pare feu Windows, empeche le bon
fonctionnement du serveur FTP de IIS

Merci pour vos pistes

Olivier Laymand [MS] wrote:
Bonjour

Le protocol FTP est un peu complexe. Les échanges de données ont
lieu sur le port 20 et pas sur le port 21.

Le port 21 permet de se connecter et d'échanger les
authentifications, donc cela fonctionne dans votre cas.
Par contre, dès que des données sont transférées, y comprise les
listages de répertoires, cela passe sur le port 20.

Vous pouvez trouver sur le web certaines pages permettant de faire
la configuration de votre Livebox, par exemple, celle-ci:
http://www.didierg.com/lbgeeks/article.php3?id_article

-
Olivier



"Theox" news:
Bonjour

Mon serveur FTP IIS sous WXP Pro est bancal
Il fonctionne depuis le pc qui heberge lIIS
ftp://localhost ==> Ok
ftp://192.168.1.1 ==> Ok

Mais si
ftp://IP(FAI) ==> Ko
ftp://NomDomaine.COm ==> Ko

Je suis derriere une LiveBox
Redirection port 21 Ok
ParFeu Windows port 21 Ok
IIS ecoute le port 21

en fait, en venant de l'exterieur, je me connecte
bien(identification Ok), mais le serveur ne me permet pas de voir
le contenu des dossiers auxquels je
suis sensé acceder
Les autorisations sont Ok(il me semble)

Aurais je oublié un truc ?
Avant meme config mais sur un autre PC(moins performant), et
derriere une FreeBox, ca marchait nickel

Une piste ?

Merci d'avance





Euh, pas tout à fait comme cela que fonctionne le FTP.
Cela est souvent expliqué comme cela sur les tutoriaux internet, et
c'est une ERREUR qui conduit très souvent à faire ouvrir le port 20
côté client. Je le repète c'est une ERREUR.
j'ai déjà à maintes reprises expliqué tout cela dans ce newsgroup,
mais bon, c'est pour la bonne cause, alors allons-y:
Le FTP connait deux modes:

L'actif (c'est le mode utilisé par exemple par ftp.exe en ligne de
commande)
Le client se connecte depuis un port c (> 1024 vers le port s (port
21 par défaut sur le serveur) et s'authentifie. C'est la connexion
"commande" Une fois authentifié le serveur se connectera du port s -1
(donc par
défaut le port 20 du serveur) vers le port c +1 du serveur. Il
s'agit de la connexion "Datas"

Le passif:
Le client se connecte depuis un port c (> 1024 vers le port s (port
21 par défaut sur le serveur) et s'authentifie. C'est la connexion
"commande" Une fois authentifié, le client envoie la commande PASV, le
serveur
répond en indiquant l'adresse IP et le port s' sur lequel il
attendra la connexion.
Le client se connecte depuis le port c +1 vers le port retourné par
le serveur. C'est la connexion "Datas"

Concrètement, côté firewall :
En mode actif
côté serveur, il faut juste autoriser le port 21 entrant, et le
serveur ftp à SORTIR depuis le port 20 vers n'importe quel port >
1024 Côté client, il faut autoriser n'importe quel port > 1024 à sortir
vers le port 21, et autoriser le port 20 à entrer vers n'importe
quel port > 1024. AIlez, c'est la fête !

En mode passif:
côté serveur, il faut juste autoriser le port 21 entrant ET
n'importe quel port > 1024. Allez c'est la fête !
Côté client, il suffit que le client FTP puisse sortir depuis
n'importe quel port > 1024 et vers n'importe quel ports > 1024.

De plus comme on l'aura compris, si le serveur FTP est derrière un
NAT, cela pose un souci puisque l'adresse IP privée se trouve dans
la réponse faite à la commande PASV. On donne le plan IP privée, ce
qui n'est pas terrible, et le client ne peut se connecter sur cette
dernière. Solution côté serveur: il FAUT un firewall/routeur/*Box avec
un NAT
"applicatif".
C'est à dire un produit capable lorsque l'on forward le port 21, de
regarder entre autre, l'adresse IP à l'interieur du paquet en
réponse à la commande PASV afin de la remplacer par l'IP publique ET
de n'accepter (c'est à dire ouvrir un port) une connexion d'un port
> 1024 vers un port > 1024 QUE si cette demande de connexion est
RELATIVE a une connexion déja établie sur le port 21.
Ce que fait la freebox ;-)

Ps: quasiment aucun produit grand public ne permet depuis le Lan
privé de forwarder vers le Lan privé quand on lui demande son IP
publique (ou le nom de domaine internet c'est pareil), c'est "by
design". Pour tester un serveur FTP, soit il faut avoir deux lignes
d'accès à
internet distinctes, soit avoir un ami ayant un accès internet et
(beaucoup) de temps à perdre, soit utiliser ce site (il doit y en
avoir d'autres, mais celui-ci fonctionne)
http://www.g6ftpserver.com/fr/ftptest





NON PAS LE PORT 20 ! scrogneugneu :-(
C'est exactement ce que j'indiquai dans mon post comme à NE PAS faire.
Dans le pare feu de windows, autoriser non pas le ou les ports (puisqu'il
faudrait ouvrir TOUS les ports > 1024 comme expliqué dans mon post
précédent), mais le fichier exécutable du serveur ftp (de mémoire c'est
inetinfo.exe, mais pour être sûr, dans les paramètre du parefeu, activer
le journal, par défaut dans C:WINDOWSpfirewall.log, ou faire un
netstat -anbp tcp et regarder "qui" écoute le port 21)
En ce qui concerne le test de gene6, la commande clnT ne semble pas être
comprise du serveur ftp IIS (ni de warftp d'ailleurs)
Essayes celui-ci:
http://www.hq42.net/net_tools/test_ftp_server.php
Il doit au minimu afficher le listing du repertoire racine

Ps merci de répondre à la fin des messages :-)
Réponse: parce que
Question: Pourquoi ?
Réponse: Oui
Question: Vous êtes sûr ?





Bonjour
Dans le Parefeu Windows, je viens d'autoriser le fichier
C:WINDOWSsystem32inetsrvinetinfo.exe
et le FTP fonctionne nickel !
J'ai meme pas autoriser les ports 21 ou 20 du pare feu Windows, et ca marche
qd meme

Je recapitule

- Il FAUT autoriser le port 21 dans le routage/parfeu des ports de la
LiveBox
Inutile de liberer le port 20, qui d'ailleur est Ok pour la sortie
(par defaut dans ma LiveBox)
- Autoriser l'exe de IIS = "C:WINDOWSsystem32inetsrvinetinfo.exe" dans
le ParFeu Windows
plustot que liberer le port 21
- Si d'autre Parfeu Block le port 21, les liberer ou mieux, liberer l'exe
de IIS carrement.
- Activer le FTP de IIS :

C'est tout bon
Merci a tous pour vos liens et explications

@JBongrand
Reponse en fin des messages c'ets plus logiq ... c'est vrai !
Mais qd on a la flemme, tous les pretextes sont bons.
Voila je suivrait cette consigne a l'avenir(j'essaierais du moins)
oLaFKeWL
Le #11346301
smk a écrit :


@JBongrand
Reponse en fin des messages c'ets plus logiq ... c'est vrai !
Mais qd on a la flemme, tous les pretextes sont bons.
Voila je suivrait cette consigne a l'avenir(j'essaierais du moins)





En utilisant un meilleur lecteur de news, tu n'aurais pas ce probleme :-)
Publicité
Poster une réponse
Anonyme