Bonsoir !
Suite a de nombreux probleme de FTP, je viens de me rendre compte que le
mode FTP passif, necessite l'ouverture de ports
40000 a 55000 (????).
Ma question est donc : quel sont les ports INDISPENSABLEs à ouvrir ?
Merci
@+
Denis
--
*** Attention adresse anti-spam
*** Warning address modified for SPAM protection
---Pour toute reponse remplacer "youpi" par "yahoo"
---For any answer, replace "youpi" by "yahoo"
Sauf si le firewall implémente un filtrage à états complet, auquel cas, il est capable d'extraire de la première connexion les paramètres de la seconde et donc la laisser passer. C'est le cas de tous les pare-feu modernes, mêmes les Soho à pas cher qu'on trouve chez l'assembleur de coin.
Oui, ben c'est pas encore le cas d'IPFilter.
Euh si. ipf (enfin via son module de nat) fait passer le ftp passif et actif.
Sauf si le firewall implémente un filtrage à états complet, auquel cas,
il est capable d'extraire de la première connexion les paramètres de la
seconde et donc la laisser passer. C'est le cas de tous les pare-feu
modernes, mêmes les Soho à pas cher qu'on trouve chez l'assembleur de
coin.
Oui, ben c'est pas encore le cas d'IPFilter.
Euh si. ipf (enfin via son module de nat) fait passer le ftp passif et
actif.
Sauf si le firewall implémente un filtrage à états complet, auquel cas, il est capable d'extraire de la première connexion les paramètres de la seconde et donc la laisser passer. C'est le cas de tous les pare-feu modernes, mêmes les Soho à pas cher qu'on trouve chez l'assembleur de coin.
Oui, ben c'est pas encore le cas d'IPFilter.
Euh si. ipf (enfin via son module de nat) fait passer le ftp passif et actif.
Fabien SPAGNOLO
"Cedric Blancher" a écrit dans le message de news:
mais par contre le port du serveur est en principe le port 20.
Plus généralement, c'est le port immédiatement inférieur à son port d'écoute principal.
C'est même pas plus généralement, c'est obligatoire en tous cas d'après la RFC (959):
" The user-DTP must "listen" on the specified data port; this may be he default user port (U) or a port specified in the PORT command. The server shall initiate the data connection from his own default data port (L-1) using the specified user data port. "
J'ai connu des serveurs FTP (filezilla) qui ne respectent pas ça et ça cause des problèmes avec certains firewalls (checkpoint) qui eux font des checks là-dessus.
-- Fabien SPAGNOLO
"Cedric Blancher" <blancher@cartel-securite.fr> a écrit dans le message de
news:pan.2004.01.22.08.53.22.986951@cartel-securite.fr...
mais par contre le port du serveur est en principe le port 20.
Plus généralement, c'est le port immédiatement inférieur à son port
d'écoute principal.
C'est même pas plus généralement, c'est obligatoire en tous cas d'après la
RFC (959):
"
The user-DTP must "listen" on the specified data port; this may be he
default
user port (U) or a port specified in the PORT command. The server shall
initiate
the data connection from his own default data port (L-1) using the specified
user
data port.
"
J'ai connu des serveurs FTP (filezilla) qui ne respectent pas ça et ça cause
des problèmes avec certains firewalls (checkpoint) qui eux font des checks
là-dessus.
"Cedric Blancher" a écrit dans le message de news:
mais par contre le port du serveur est en principe le port 20.
Plus généralement, c'est le port immédiatement inférieur à son port d'écoute principal.
C'est même pas plus généralement, c'est obligatoire en tous cas d'après la RFC (959):
" The user-DTP must "listen" on the specified data port; this may be he default user port (U) or a port specified in the PORT command. The server shall initiate the data connection from his own default data port (L-1) using the specified user data port. "
J'ai connu des serveurs FTP (filezilla) qui ne respectent pas ça et ça cause des problèmes avec certains firewalls (checkpoint) qui eux font des checks là-dessus.
-- Fabien SPAGNOLO
xavier
Cedric Blancher wrote:
En gros, tu as deux solutions. Soit tu fais un gros trucs bien goret avec ipnat pour utiliser le proxy FTP intégré, soit tu rediriges le trafic vers un proxy FTP en userland.
C'est effectivement, comme le fait remarque Erwan, ce que je fais pour le trafic sortant. C'est normal, ça marche sans soucis.
Pour le trafic entrant par contre, j'ai un bimap d'une adresse publique vers elle-même. Et comme, à ce que je sache ipf ne fait pas de reverse proxy, on est obligé de laisser ouvert les ports non-privilégiés en sortie, pour que le serveur FTP puisse causer à ses clients. Et ça, c'est *vraiment* sale.
XAv - FTP must die !
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
En gros, tu as deux solutions. Soit tu fais un gros trucs bien goret avec
ipnat pour utiliser le proxy FTP intégré, soit tu rediriges le trafic
vers un proxy FTP en userland.
C'est effectivement, comme le fait remarque Erwan, ce que je fais pour
le trafic sortant. C'est normal, ça marche sans soucis.
Pour le trafic entrant par contre, j'ai un bimap d'une adresse publique
vers elle-même. Et comme, à ce que je sache ipf ne fait pas de reverse
proxy, on est obligé de laisser ouvert les ports non-privilégiés en
sortie, pour que le serveur FTP puisse causer à ses clients. Et ça,
c'est *vraiment* sale.
XAv - FTP must die !
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
En gros, tu as deux solutions. Soit tu fais un gros trucs bien goret avec ipnat pour utiliser le proxy FTP intégré, soit tu rediriges le trafic vers un proxy FTP en userland.
C'est effectivement, comme le fait remarque Erwan, ce que je fais pour le trafic sortant. C'est normal, ça marche sans soucis.
Pour le trafic entrant par contre, j'ai un bimap d'une adresse publique vers elle-même. Et comme, à ce que je sache ipf ne fait pas de reverse proxy, on est obligé de laisser ouvert les ports non-privilégiés en sortie, pour que le serveur FTP puisse causer à ses clients. Et ça, c'est *vraiment* sale.
XAv - FTP must die !
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Cedric Blancher
Dans sa prose, Xavier HUMBERT nous ecrivait :
c'est *vraiment* sale.
Oui.
XAv - FTP must die !
IPF/PF must evolve a bit.
--
JE ne propose pas de revues ni de sites Mais tout simplement moi PHIL35 PARIS femmes je vous attend pour soirées chaudes ou pas .les rencontres on line c'est bien mais offline c'est pas mal non plus alors quand vous voulez. -+- F In : Guide du Neuneu d'Usenet - Rencontres on lit(g)neuneu -+-
Dans sa prose, Xavier HUMBERT nous ecrivait :
c'est *vraiment* sale.
Oui.
XAv - FTP must die !
IPF/PF must evolve a bit.
--
JE ne propose pas de revues ni de sites Mais tout simplement moi PHIL35
PARIS femmes je vous attend pour soirées chaudes ou pas .les rencontres on
line c'est bien mais offline c'est pas mal non plus alors quand vous voulez.
-+- F In : Guide du Neuneu d'Usenet - Rencontres on lit(g)neuneu -+-
JE ne propose pas de revues ni de sites Mais tout simplement moi PHIL35 PARIS femmes je vous attend pour soirées chaudes ou pas .les rencontres on line c'est bien mais offline c'est pas mal non plus alors quand vous voulez. -+- F In : Guide du Neuneu d'Usenet - Rencontres on lit(g)neuneu -+-
Christophe Cuq
(Xavier) writes:
Et pf, il fait comment ?
Il utilise le proxy-ftp livré avec à qui tu donnes un range de ports utilisables.
Il suffit juste de rajouter une règle nat pour rediriger tout le trafic du port 21 vers le proxy.
Et ça marche vraiment très bien.
Le jour où j'aurai trové proxy H323 qui fonctionne de la même façon, je pourrai enfin réinstaller la passerelle à la place du ST530 (qui lui, en dispose du proxy H323)
-- CHC
xavier@groumpf.org (Xavier) writes:
Et pf, il fait comment ?
Il utilise le proxy-ftp livré avec à qui tu donnes un range de ports
utilisables.
Il suffit juste de rajouter une règle nat pour rediriger tout le
trafic du port 21 vers le proxy.
Et ça marche vraiment très bien.
Le jour où j'aurai trové proxy H323 qui fonctionne de la même façon,
je pourrai enfin réinstaller la passerelle à la place du ST530 (qui
lui, en dispose du proxy H323)
Il utilise le proxy-ftp livré avec à qui tu donnes un range de ports utilisables.
Il suffit juste de rajouter une règle nat pour rediriger tout le trafic du port 21 vers le proxy.
Et ça marche vraiment très bien.
Le jour où j'aurai trové proxy H323 qui fonctionne de la même façon, je pourrai enfin réinstaller la passerelle à la place du ST530 (qui lui, en dispose du proxy H323)
-- CHC
xavier
Cedric Blancher wrote:
c'est *vraiment* sale.
Oui.
XAv - FTP must die !
IPF/PF must evolve a bit.
Oui, bon en attendant, on n'a pas beaoucoup de choix en proxy userland (Sous Fribi), je ne vois guère que ftp/jftpgw qui aie l'air de pouvoir faire du reverse proxy.
Quelqu'un connaît / a testé ?
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Oui, bon en attendant, on n'a pas beaoucoup de choix en proxy userland
(Sous Fribi), je ne vois guère que ftp/jftpgw qui aie l'air de pouvoir
faire du reverse proxy.
Quelqu'un connaît / a testé ?
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Oui, bon en attendant, on n'a pas beaoucoup de choix en proxy userland (Sous Fribi), je ne vois guère que ftp/jftpgw qui aie l'air de pouvoir faire du reverse proxy.
Quelqu'un connaît / a testé ?
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Laurent
1- FTP actif: le client envoie une commande au serveur qui précise qu'il
(le client) se met en écoute sur un port N. Le serveur va alors se connecter à ton client sur ce port et le transfert commence... En général, le port N du client est tiré au hasard supérieur à 1024,
En général, il utilise le port immédiatement supérieur à celui utilisé pour la connexion de commandes (s'il est libre). Oui en effet, faut pas qu'il y ait un con de spyware qui établisse une
connexion entre le moment ou tu ouvres la canal de commandes et le moment ou tu ouvres le second canal servant à la reception des data de la première commande... :-)
mais par contre le port du serveur est en principe le port 20.
Plus généralement, c'est le port immédiatement inférieur à son port d'écoute principal. Oui ça doit être la RFC...et pour completer...
Les firewall assez évolués (la plupart aujourd'hui) pour comprendre les phases de négociation de ports FTP ne perdent pas de temps à analyser toutes les connexions TCP qui s'ouvrent mais se contentent de dérouler la routine d'analyse FTP lorsque le port 21 est matché...ce qui veut dire que ça peut vite devenir le bordel lorsque le serveur FTP ne binde pas un port d'accueil pour la gestion des commandes égal à 21 (certains firewall le permettent tout de même mais il faut leur spécifier explicitement que sur le port X on fait du FTP)...
...Sans parler des routeurs qui NATent un serveur FTP en RFC1918 sans retoucher l'IP dans les DATA FTP lors de la réponse à une commande PASV (dans ce cas, soit le client FTP est assez évolué pour faire une entorse à la RFC, soit il tente de se connecter à une IP non routable (l'IP réelle du serveur NATé justement) qui aura une durée de vie très courte...) --> Seul le mode Actif est possible "proprement" dans ce cas là...
Laurent
1- FTP actif: le client envoie une commande au serveur qui précise
qu'il
(le client) se met en écoute sur un port N. Le serveur va alors se
connecter à ton client sur ce port et le transfert commence...
En général, le port N du client est tiré au hasard supérieur à 1024,
En général, il utilise le port immédiatement supérieur à celui
utilisé pour la connexion de commandes (s'il est libre).
Oui en effet, faut pas qu'il y ait un con de spyware qui établisse une
connexion entre le moment ou tu ouvres la canal de commandes et le moment ou
tu ouvres le second canal servant à la reception des data de la première
commande... :-)
mais par contre le port du serveur est en principe le port 20.
Plus généralement, c'est le port immédiatement inférieur à son port
d'écoute principal.
Oui ça doit être la RFC...et pour completer...
Les firewall assez évolués (la plupart aujourd'hui) pour comprendre les
phases de négociation de ports FTP ne perdent pas de temps à analyser toutes
les connexions TCP qui s'ouvrent mais se contentent de dérouler la routine
d'analyse FTP lorsque le port 21 est matché...ce qui veut dire que ça peut
vite devenir le bordel lorsque le serveur FTP ne binde pas un port d'accueil
pour la gestion des commandes égal à 21 (certains firewall le permettent
tout de même mais il faut leur spécifier explicitement que sur le port X on
fait du FTP)...
...Sans parler des routeurs qui NATent un serveur FTP en RFC1918 sans
retoucher l'IP dans les DATA FTP lors de la réponse à une commande PASV
(dans ce cas, soit le client FTP est assez évolué pour faire une entorse à
la RFC, soit il tente de se connecter à une IP non routable (l'IP réelle du
serveur NATé justement) qui aura une durée de vie très courte...) --> Seul
le mode Actif est possible "proprement" dans ce cas là...
1- FTP actif: le client envoie une commande au serveur qui précise qu'il
(le client) se met en écoute sur un port N. Le serveur va alors se connecter à ton client sur ce port et le transfert commence... En général, le port N du client est tiré au hasard supérieur à 1024,
En général, il utilise le port immédiatement supérieur à celui utilisé pour la connexion de commandes (s'il est libre). Oui en effet, faut pas qu'il y ait un con de spyware qui établisse une
connexion entre le moment ou tu ouvres la canal de commandes et le moment ou tu ouvres le second canal servant à la reception des data de la première commande... :-)
mais par contre le port du serveur est en principe le port 20.
Plus généralement, c'est le port immédiatement inférieur à son port d'écoute principal. Oui ça doit être la RFC...et pour completer...
Les firewall assez évolués (la plupart aujourd'hui) pour comprendre les phases de négociation de ports FTP ne perdent pas de temps à analyser toutes les connexions TCP qui s'ouvrent mais se contentent de dérouler la routine d'analyse FTP lorsque le port 21 est matché...ce qui veut dire que ça peut vite devenir le bordel lorsque le serveur FTP ne binde pas un port d'accueil pour la gestion des commandes égal à 21 (certains firewall le permettent tout de même mais il faut leur spécifier explicitement que sur le port X on fait du FTP)...
...Sans parler des routeurs qui NATent un serveur FTP en RFC1918 sans retoucher l'IP dans les DATA FTP lors de la réponse à une commande PASV (dans ce cas, soit le client FTP est assez évolué pour faire une entorse à la RFC, soit il tente de se connecter à une IP non routable (l'IP réelle du serveur NATé justement) qui aura une durée de vie très courte...) --> Seul le mode Actif est possible "proprement" dans ce cas là...
Laurent
xavier
Laurent wrote:
...Sans parler des routeurs qui NATent un serveur FTP en RFC1918 sans retoucher l'IP dans les DATA FTP lors de la réponse à une commande PASV [...]
Seul le mode Actif est possible "proprement" dans ce cas là...
Binnezere, donnezate ...
C'est malheureusement encore une fois le cas d'ipf/ipnat.
Et ça, je sais de source sûre que ça a été demandé à Darren depuis un bon moment, voire une éternité informatique, puisque ça se compte en années.
Heureusement que, comme tu le précise, ça peut se corriger au niveau du serveur FTP, à condition qu'il soit NATé derrière une IP fixe, sinon ça devient sportif...
Toujours pas de suggestion pour un reverse-proxy FTP ?
...Sans parler des routeurs qui NATent un serveur FTP en RFC1918 sans
retoucher l'IP dans les DATA FTP lors de la réponse à une commande PASV
[...]
Seul le mode Actif est possible "proprement" dans ce cas là...
Binnezere, donnezate ...
C'est malheureusement encore une fois le cas d'ipf/ipnat.
Et ça, je sais de source sûre que ça a été demandé à Darren depuis un
bon moment, voire une éternité informatique, puisque ça se compte en
années.
Heureusement que, comme tu le précise, ça peut se corriger au niveau du
serveur FTP, à condition qu'il soit NATé derrière une IP fixe, sinon ça
devient sportif...
Toujours pas de suggestion pour un reverse-proxy FTP ?
...Sans parler des routeurs qui NATent un serveur FTP en RFC1918 sans retoucher l'IP dans les DATA FTP lors de la réponse à une commande PASV [...]
Seul le mode Actif est possible "proprement" dans ce cas là...
Binnezere, donnezate ...
C'est malheureusement encore une fois le cas d'ipf/ipnat.
Et ça, je sais de source sûre que ça a été demandé à Darren depuis un bon moment, voire une éternité informatique, puisque ça se compte en années.
Heureusement que, comme tu le précise, ça peut se corriger au niveau du serveur FTP, à condition qu'il soit NATé derrière une IP fixe, sinon ça devient sportif...
Toujours pas de suggestion pour un reverse-proxy FTP ?
Oui, bon en attendant, on n'a pas beaoucoup de choix en proxy userland (Sous Fribi), je ne vois guère que ftp/jftpgw qui aie l'air de pouvoir faire du reverse proxy.
Quelqu'un connaît / a testé ?
Un peu. Et pas en 0.13.x, plutôt en 0.0.13x .
Utilisé pour faire du chaînage de proxy : - Users -> jftpgw -> 2emeProxy -> Internet.
Ca redirige comme tu veux, ca filtre correctement et ca logue tout ce que ca peut. Bref ca marche plutôt bien et comme décrit dans la homepage. Mais je ne l'ai pas utilisé en mode proxy-transparent. En tout cas pas une seule plainte en 2ans, et j'en aurais eu. Bon, il est vrai que j'ai rajouté un script qui le relance si jamais il a planté. :-p
a+,
-- Ndrianina
Le 22 Jan 2004 15:23:36, Xavier HUMBERT <xavier@injep.fr> a écrit:
Oui, bon en attendant, on n'a pas beaoucoup de choix en proxy userland
(Sous Fribi), je ne vois guère que ftp/jftpgw qui aie l'air de pouvoir
faire du reverse proxy.
Quelqu'un connaît / a testé ?
Un peu. Et pas en 0.13.x, plutôt en 0.0.13x .
Utilisé pour faire du chaînage de proxy :
- Users -> jftpgw -> 2emeProxy -> Internet.
Ca redirige comme tu veux, ca filtre correctement et ca logue tout ce que
ca peut. Bref ca marche plutôt bien et comme décrit dans la homepage.
Mais je ne l'ai pas utilisé en mode proxy-transparent.
En tout cas pas une seule plainte en 2ans, et j'en aurais eu. Bon, il est
vrai que j'ai rajouté un script qui le relance si jamais il a planté. :-p
Oui, bon en attendant, on n'a pas beaoucoup de choix en proxy userland (Sous Fribi), je ne vois guère que ftp/jftpgw qui aie l'air de pouvoir faire du reverse proxy.
Quelqu'un connaît / a testé ?
Un peu. Et pas en 0.13.x, plutôt en 0.0.13x .
Utilisé pour faire du chaînage de proxy : - Users -> jftpgw -> 2emeProxy -> Internet.
Ca redirige comme tu veux, ca filtre correctement et ca logue tout ce que ca peut. Bref ca marche plutôt bien et comme décrit dans la homepage. Mais je ne l'ai pas utilisé en mode proxy-transparent. En tout cas pas une seule plainte en 2ans, et j'en aurais eu. Bon, il est vrai que j'ai rajouté un script qui le relance si jamais il a planté. :-p
a+,
-- Ndrianina
J.
....
...Sans parler des routeurs qui NATent un serveur FTP en RFC1918 sans retoucher l'IP dans les DATA FTP lors de la réponse à une commande PASV (dans ce cas, soit le client FTP est assez évolué pour faire une entorse à la RFC, soit il tente de se connecter à une IP non routable (l'IP réelle du serveur NATé justement) qui aura une durée de vie très courte...) --> Seul le mode Actif est possible "proprement" dans ce cas là...
En fait, je me démerde légèrement autrement. J'utilise simplement un serveur ftp qui peut "binder" sur une autre @ que celle de la machine : genre pure-ftp.
....
...Sans parler des routeurs qui NATent un serveur FTP en RFC1918 sans
retoucher l'IP dans les DATA FTP lors de la réponse à une commande PASV
(dans ce cas, soit le client FTP est assez évolué pour faire une entorse à
la RFC, soit il tente de se connecter à une IP non routable (l'IP réelle du
serveur NATé justement) qui aura une durée de vie très courte...) --> Seul
le mode Actif est possible "proprement" dans ce cas là...
En fait, je me démerde légèrement autrement.
J'utilise simplement un serveur ftp qui peut "binder" sur une autre @
que celle de la machine : genre pure-ftp.
...Sans parler des routeurs qui NATent un serveur FTP en RFC1918 sans retoucher l'IP dans les DATA FTP lors de la réponse à une commande PASV (dans ce cas, soit le client FTP est assez évolué pour faire une entorse à la RFC, soit il tente de se connecter à une IP non routable (l'IP réelle du serveur NATé justement) qui aura une durée de vie très courte...) --> Seul le mode Actif est possible "proprement" dans ce cas là...
En fait, je me démerde légèrement autrement. J'utilise simplement un serveur ftp qui peut "binder" sur une autre @ que celle de la machine : genre pure-ftp.
