J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont
derrière un firewall(iptables). Le firewall empéche de les connexions
depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien
en local.
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou
se trouve le ftp et ip_contrack_ftp est bien chargé.
Google n'a rien donné.
Qu'est ce qu'il faut faire pour le firewall ?
Cordialement
--
David Hannequin
CFPPA de Roanne
5 rue Emile Noirot
42 300 ROANNE
Tel 04 77 71 63 44
--
Toute Ressemblance avec des fautes d'orthographe, de grammaire ou de conjugaison existantes ou ayant existé serait entièrement fortuite et indépendante de la volonté de l'auteur.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jérôme Schneider
Le Samedi 5 Novembre 2005 17:15, David Hannequin a écrit :
Bonjour,
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés b ien en local.
Tu a surement des règles plus permissives pour le réseau local.
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé.
Il faut également charger ip_nat_ftp si tu utilise NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Je ne peux malheuresement pas te répondre car j'ai le même problème : le ftp passe très bien en claire (en passif et actif) depuis l'extérieur, mais dès que j'utilise le TLS ça ne marche plus (le mode passif et actif bloque). Visiblement contrack_ftp ne marche pas lorsque le ftp est en TLS ou SSL. Ce que j'ai lu semble le confirmer, c'est visiblement un bug connu depuis longtemps (c'était des mails de 2004). Bref je ne sais pas quoi faire soit passer en claire, soit mettre des règ les iptables permissives. Enfin il existe peut être une solution pour contour ner ce problème, sans avoir des règles iptables trop laxiste.
++
Jérôme
Le Samedi 5 Novembre 2005 17:15, David Hannequin a écrit :
Bonjour,
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont
derrière un firewall(iptables). Le firewall empéche de les connexions
depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés b ien
en local.
Tu a surement des règles plus permissives pour le réseau local.
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou
se trouve le ftp et ip_contrack_ftp est bien chargé.
Il faut également charger ip_nat_ftp si tu utilise NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Je ne peux malheuresement pas te répondre car j'ai le même problème : le ftp
passe très bien en claire (en passif et actif) depuis l'extérieur, mais dès
que j'utilise le TLS ça ne marche plus (le mode passif et actif bloque).
Visiblement contrack_ftp ne marche pas lorsque le ftp est en TLS ou SSL.
Ce que j'ai lu semble le confirmer, c'est visiblement un bug connu depuis
longtemps (c'était des mails de 2004).
Bref je ne sais pas quoi faire soit passer en claire, soit mettre des règ les
iptables permissives. Enfin il existe peut être une solution pour contour ner
ce problème, sans avoir des règles iptables trop laxiste.
Le Samedi 5 Novembre 2005 17:15, David Hannequin a écrit :
Bonjour,
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés b ien en local.
Tu a surement des règles plus permissives pour le réseau local.
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé.
Il faut également charger ip_nat_ftp si tu utilise NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Je ne peux malheuresement pas te répondre car j'ai le même problème : le ftp passe très bien en claire (en passif et actif) depuis l'extérieur, mais dès que j'utilise le TLS ça ne marche plus (le mode passif et actif bloque). Visiblement contrack_ftp ne marche pas lorsque le ftp est en TLS ou SSL. Ce que j'ai lu semble le confirmer, c'est visiblement un bug connu depuis longtemps (c'était des mails de 2004). Bref je ne sais pas quoi faire soit passer en claire, soit mettre des règ les iptables permissives. Enfin il existe peut être une solution pour contour ner ce problème, sans avoir des règles iptables trop laxiste.
++
Jérôme
Marc PERRUDIN
Jérôme Schneider a écrit :
Le Samedi 5 Novembre 2005 17:15, David Hannequin a écrit :
Bonjour,
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien en local.
Tu a surement des règles plus permissives pour le réseau local.
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé.
Il faut également charger ip_nat_ftp si tu utilise NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Je ne peux malheuresement pas te répondre car j'ai le même problème : le ftp passe très bien en claire (en passif et actif) depuis l'extérieur, mais dès que j'utilise le TLS ça ne marche plus (le mode passif et actif bloque). Visiblement contrack_ftp ne marche pas lorsque le ftp est en TLS ou SSL. Ce que j'ai lu semble le confirmer, c'est visiblement un bug connu depuis longtemps (c'était des mails de 2004).
Je ne pense pas que se soit un bug. En effet, ip_contrack_ftp et ip_nat_ftp fonctionnent de la meme facon: ils analysent le contenu des commandes qui passent par le canal de control. Par definition, TLS encrypte ce canal, les modules ip_contrack_ftp et ip_nat_ftp ne peuvent donc plus se servir de ce canal pour determiner les ports data a ouvrir et encore moins réécrire les commandes dans la cas de ip_nat_ftp.
Bref je ne sais pas quoi faire soit passer en claire, soit mettre des règles iptables permissives. Enfin il existe peut être une solution pour contourner ce problème, sans avoir des règles iptables trop laxiste.
Les seules solutions possibles sont du type proxy. J'ai deja vu des solutions de ce type pour https: un proxy intercepte les sessions HTTPS et c'est le proxy qui ouvre la session TLS avec le serveur, c'est un genre de man in the middle mais légale. Enfin, je n'ai jamais mis en place des solutions de ce type, dans la pratique l'aspect légal de la solution ne doit pas etre si evident car il faut reconfigurer les clients pour qu'ils ne se plaignent pas du fait que se sont les proxys qui attablissent la session TLS et non le serveur distant.
++
Jérôme
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jérôme Schneider a écrit :
Le Samedi 5 Novembre 2005 17:15, David Hannequin a écrit :
Bonjour,
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont
derrière un firewall(iptables). Le firewall empéche de les connexions
depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien
en local.
Tu a surement des règles plus permissives pour le réseau local.
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou
se trouve le ftp et ip_contrack_ftp est bien chargé.
Il faut également charger ip_nat_ftp si tu utilise NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Je ne peux malheuresement pas te répondre car j'ai le même problème : le ftp
passe très bien en claire (en passif et actif) depuis l'extérieur, mais dès
que j'utilise le TLS ça ne marche plus (le mode passif et actif bloque).
Visiblement contrack_ftp ne marche pas lorsque le ftp est en TLS ou SSL.
Ce que j'ai lu semble le confirmer, c'est visiblement un bug connu depuis
longtemps (c'était des mails de 2004).
Je ne pense pas que se soit un bug. En effet, ip_contrack_ftp et
ip_nat_ftp fonctionnent de la meme facon: ils analysent le contenu des
commandes qui passent par le canal de control. Par definition, TLS
encrypte ce canal, les modules ip_contrack_ftp et ip_nat_ftp ne peuvent
donc plus se servir de ce canal pour determiner les ports data a ouvrir
et encore moins réécrire les commandes dans la cas de ip_nat_ftp.
Bref je ne sais pas quoi faire soit passer en claire, soit mettre des règles
iptables permissives. Enfin il existe peut être une solution pour contourner
ce problème, sans avoir des règles iptables trop laxiste.
Les seules solutions possibles sont du type proxy. J'ai deja vu des
solutions de ce type pour https: un proxy intercepte les sessions HTTPS
et c'est le proxy qui ouvre la session TLS avec le serveur, c'est un
genre de man in the middle mais légale. Enfin, je n'ai jamais mis en
place des solutions de ce type, dans la pratique l'aspect légal de la
solution ne doit pas etre si evident car il faut reconfigurer les
clients pour qu'ils ne se plaignent pas du fait que se sont les proxys
qui attablissent la session TLS et non le serveur distant.
++
Jérôme
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Samedi 5 Novembre 2005 17:15, David Hannequin a écrit :
Bonjour,
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien en local.
Tu a surement des règles plus permissives pour le réseau local.
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé.
Il faut également charger ip_nat_ftp si tu utilise NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Je ne peux malheuresement pas te répondre car j'ai le même problème : le ftp passe très bien en claire (en passif et actif) depuis l'extérieur, mais dès que j'utilise le TLS ça ne marche plus (le mode passif et actif bloque). Visiblement contrack_ftp ne marche pas lorsque le ftp est en TLS ou SSL. Ce que j'ai lu semble le confirmer, c'est visiblement un bug connu depuis longtemps (c'était des mails de 2004).
Je ne pense pas que se soit un bug. En effet, ip_contrack_ftp et ip_nat_ftp fonctionnent de la meme facon: ils analysent le contenu des commandes qui passent par le canal de control. Par definition, TLS encrypte ce canal, les modules ip_contrack_ftp et ip_nat_ftp ne peuvent donc plus se servir de ce canal pour determiner les ports data a ouvrir et encore moins réécrire les commandes dans la cas de ip_nat_ftp.
Bref je ne sais pas quoi faire soit passer en claire, soit mettre des règles iptables permissives. Enfin il existe peut être une solution pour contourner ce problème, sans avoir des règles iptables trop laxiste.
Les seules solutions possibles sont du type proxy. J'ai deja vu des solutions de ce type pour https: un proxy intercepte les sessions HTTPS et c'est le proxy qui ouvre la session TLS avec le serveur, c'est un genre de man in the middle mais légale. Enfin, je n'ai jamais mis en place des solutions de ce type, dans la pratique l'aspect légal de la solution ne doit pas etre si evident car il faut reconfigurer les clients pour qu'ils ne se plaignent pas du fait que se sont les proxys qui attablissent la session TLS et non le serveur distant.
++
Jérôme
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal
Salut,
David Hannequin a écrit :
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien en local. J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé.
Comme d'autres l'ont déjà expliqué, le chiffrage complet du contenu de la connexion de contrôle (port 21) empêche le suivi de connexion de Netfilter de prendre connaissance des caractéristiques des connexions de données (transmises par les commandes PASV/EPSV et PORT/EPRT) à classer comme RELATED, et de modifier le couple adresse/port transmis en cas de NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Pour faire fonctionner les transferts en mode actif (connexion établie dans le sens serveur -> client), il suffit normalement d'accepter et le cas écheant de NATer/MASQer toute connexion sortante émise à partir du port source 20 (ftp-data).
Pour les transferts en mode passif (connexion établie dans le sens client -> serveur), c'est plus délicat. Il faut voir au niveau de vsftpd si celui-ci permet de restreindre les ports à utiliser pour les connexions de données à une plage donnée, et ouvrir/rediriger cette plage de ports dans le firewall. D'autre part, si le serveur est NATé, il faut pouvoir spécifier dans la configuration de vsftpd l'adresse publique à transmettre. Ne connaissant pas vsftpd, je ne saurais dire si tout cela est faisable.
Le mode FTP passif est dit "firewall friendly", mais ce n'est vrai que si on se place côté client. Côté serveur, c'est tout le contraire !
Alternativement, utiliser SFTP/SSH à la place de FTP/TSL.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
David Hannequin a écrit :
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont
derrière un firewall(iptables). Le firewall empéche de les connexions
depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien
en local.
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou
se trouve le ftp et ip_contrack_ftp est bien chargé.
Comme d'autres l'ont déjà expliqué, le chiffrage complet du contenu de
la connexion de contrôle (port 21) empêche le suivi de connexion de
Netfilter de prendre connaissance des caractéristiques des connexions de
données (transmises par les commandes PASV/EPSV et PORT/EPRT) à classer
comme RELATED, et de modifier le couple adresse/port transmis en cas de NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Pour faire fonctionner les transferts en mode actif (connexion établie
dans le sens serveur -> client), il suffit normalement d'accepter et le
cas écheant de NATer/MASQer toute connexion sortante émise à partir du
port source 20 (ftp-data).
Pour les transferts en mode passif (connexion établie dans le sens
client -> serveur), c'est plus délicat. Il faut voir au niveau de vsftpd
si celui-ci permet de restreindre les ports à utiliser pour les
connexions de données à une plage donnée, et ouvrir/rediriger cette
plage de ports dans le firewall. D'autre part, si le serveur est NATé,
il faut pouvoir spécifier dans la configuration de vsftpd l'adresse
publique à transmettre. Ne connaissant pas vsftpd, je ne saurais dire si
tout cela est faisable.
Le mode FTP passif est dit "firewall friendly", mais ce n'est vrai que
si on se place côté client. Côté serveur, c'est tout le contraire !
Alternativement, utiliser SFTP/SSH à la place de FTP/TSL.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien en local. J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé.
Comme d'autres l'ont déjà expliqué, le chiffrage complet du contenu de la connexion de contrôle (port 21) empêche le suivi de connexion de Netfilter de prendre connaissance des caractéristiques des connexions de données (transmises par les commandes PASV/EPSV et PORT/EPRT) à classer comme RELATED, et de modifier le couple adresse/port transmis en cas de NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Pour faire fonctionner les transferts en mode actif (connexion établie dans le sens serveur -> client), il suffit normalement d'accepter et le cas écheant de NATer/MASQer toute connexion sortante émise à partir du port source 20 (ftp-data).
Pour les transferts en mode passif (connexion établie dans le sens client -> serveur), c'est plus délicat. Il faut voir au niveau de vsftpd si celui-ci permet de restreindre les ports à utiliser pour les connexions de données à une plage donnée, et ouvrir/rediriger cette plage de ports dans le firewall. D'autre part, si le serveur est NATé, il faut pouvoir spécifier dans la configuration de vsftpd l'adresse publique à transmettre. Ne connaissant pas vsftpd, je ne saurais dire si tout cela est faisable.
Le mode FTP passif est dit "firewall friendly", mais ce n'est vrai que si on se place côté client. Côté serveur, c'est tout le contraire !
Alternativement, utiliser SFTP/SSH à la place de FTP/TSL.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal
David Hannequin a écrit :
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé.
Petite précision : en FTP normal (pas de SSL/TLS), s'il y a du NAT entre le serveur et le client comme le laisse entendre "forwarder les ports", il faut aussi charger le module ip_nat_ftp. D'autre part, il est inutile de rediriger le port 20 vers le serveur :
- ce port est utilisé comme port source pour des connexions sortantes du serveur vers le client en mode actif ;
- la connexion de données passive ou active est marquée RELATED par ip_conntrack_ftp et NATée comme il faut par ip_nat_ftp, rien de spécial à faire donc à part accepter les paquets RELATED.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
David Hannequin a écrit :
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou
se trouve le ftp et ip_contrack_ftp est bien chargé.
Petite précision : en FTP normal (pas de SSL/TLS), s'il y a du NAT entre
le serveur et le client comme le laisse entendre "forwarder les ports",
il faut aussi charger le module ip_nat_ftp. D'autre part, il est inutile
de rediriger le port 20 vers le serveur :
- ce port est utilisé comme port source pour des connexions sortantes du
serveur vers le client en mode actif ;
- la connexion de données passive ou active est marquée RELATED par
ip_conntrack_ftp et NATée comme il faut par ip_nat_ftp, rien de spécial
à faire donc à part accepter les paquets RELATED.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé.
Petite précision : en FTP normal (pas de SSL/TLS), s'il y a du NAT entre le serveur et le client comme le laisse entendre "forwarder les ports", il faut aussi charger le module ip_nat_ftp. D'autre part, il est inutile de rediriger le port 20 vers le serveur :
- ce port est utilisé comme port source pour des connexions sortantes du serveur vers le client en mode actif ;
- la connexion de données passive ou active est marquée RELATED par ip_conntrack_ftp et NATée comme il faut par ip_nat_ftp, rien de spécial à faire donc à part accepter les paquets RELATED.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
