Qu'en dîtes vous ?
Qu'en dîtes vous ?
Qu'en dîtes vous ?
Bonjour,
Pour des échanges de documents avec quelques correspondants, j'ai installé
pure-ftpd sur mon pc. J'ai créé les utilisateurs virtuels en suivant les
indications de Léa :
http://www.lea-linux.org/documentations/index.php/Reseau-partfic-pureftpd
En local, tout fonctionne parfaitement. (Client en mode actif.)
Malheureusement, plusieurs correspondants se plaignent de ne pouvoir se
connecter ou, plus exactement, de ne pas obtenir la liste des fichiers de
leur répertoire. Je me demande donc si les règles de NAT que j'ai créées
dans mon modem-routeur sont correctes. Tel que je l'ai configuré, le serveur
propose pour les données un port dans la plage 30000-30199. (Mode passif)
Règle NAT créée au bénéfice de mon poste dont l'ip locale est fixe :
Protocol Port_Range Translate_to Trigger_Protocol Trigger_Port
**************************************************************************
TCP 21-21 21-21
TCP 30000-30199 30000-30199 TCP 21
Qu'en dîtes vous ?
Bonjour,
Pour des échanges de documents avec quelques correspondants, j'ai installé
pure-ftpd sur mon pc. J'ai créé les utilisateurs virtuels en suivant les
indications de Léa :
http://www.lea-linux.org/documentations/index.php/Reseau-partfic-pureftpd
En local, tout fonctionne parfaitement. (Client en mode actif.)
Malheureusement, plusieurs correspondants se plaignent de ne pouvoir se
connecter ou, plus exactement, de ne pas obtenir la liste des fichiers de
leur répertoire. Je me demande donc si les règles de NAT que j'ai créées
dans mon modem-routeur sont correctes. Tel que je l'ai configuré, le serveur
propose pour les données un port dans la plage 30000-30199. (Mode passif)
Règle NAT créée au bénéfice de mon poste dont l'ip locale est fixe :
Protocol Port_Range Translate_to Trigger_Protocol Trigger_Port
**************************************************************************
TCP 21-21 21-21
TCP 30000-30199 30000-30199 TCP 21
Qu'en dîtes vous ?
Bonjour,
Pour des échanges de documents avec quelques correspondants, j'ai installé
pure-ftpd sur mon pc. J'ai créé les utilisateurs virtuels en suivant les
indications de Léa :
http://www.lea-linux.org/documentations/index.php/Reseau-partfic-pureftpd
En local, tout fonctionne parfaitement. (Client en mode actif.)
Malheureusement, plusieurs correspondants se plaignent de ne pouvoir se
connecter ou, plus exactement, de ne pas obtenir la liste des fichiers de
leur répertoire. Je me demande donc si les règles de NAT que j'ai créées
dans mon modem-routeur sont correctes. Tel que je l'ai configuré, le serveur
propose pour les données un port dans la plage 30000-30199. (Mode passif)
Règle NAT créée au bénéfice de mon poste dont l'ip locale est fixe :
Protocol Port_Range Translate_to Trigger_Protocol Trigger_Port
**************************************************************************
TCP 21-21 21-21
TCP 30000-30199 30000-30199 TCP 21
Qu'en dîtes vous ?
Bonjour,
Si vous autorisez les connexions sortantes (nécessaires à
l'établissement d'une connexion de données en mode actif sur votre
serveur FTP), votre configuration semble correcte, mais certains de vos
correspondants sont peut-être situés derrière des
routeurs/firewalls/autre qui ne comprennent pas le protocole FTP, ce qui
empêche un fonctionnement correct du mode actif: en effet si le client
FTP de votre correspondant utilise ce mode, la commande "PORT" qu'il
enverra à votre serveur inclura son adresse IP *privée*, celle utilisée
sur son LAN, et qui est inaccessible à votre serveur.
Pour que cela fonctionne correctement, il faut que le routeur, la box,
ou de manière plus générale l'équipement qui connecte le client
problématique à Internet comprenne le protocole FTP et sache le
décortiquer afin de remplacer à la volée, dans la commande "PORT",
l'adresse IP privée de la machine cliente sur le LAN, par l'adresse
publique du routeur (avec un éventuel changement de port à la clef si
c'est nécessaire).
C'est la raison la plus probable, à mon avis, de ce mauvais
fonctionnement, mais malheureusement, vous n'y pouvez pas grand-chose, à
part conseiller à vos interlocuteurs de passer en mode passif...
Cela dit, je suis assez d'accord avec le commentaire de Nicolas George
sur le côté un peu obsolète, désormais, du protocole FTP, qui peut
avantageusement être remplacé par SFTP ou autre chose. Mais bon, il est
évident qu'une telle décision ne peut se faire que si tous vos
correspondants sont à même d'utiliser le nouveau protocole...
Bonjour,
Si vous autorisez les connexions sortantes (nécessaires à
l'établissement d'une connexion de données en mode actif sur votre
serveur FTP), votre configuration semble correcte, mais certains de vos
correspondants sont peut-être situés derrière des
routeurs/firewalls/autre qui ne comprennent pas le protocole FTP, ce qui
empêche un fonctionnement correct du mode actif: en effet si le client
FTP de votre correspondant utilise ce mode, la commande "PORT" qu'il
enverra à votre serveur inclura son adresse IP *privée*, celle utilisée
sur son LAN, et qui est inaccessible à votre serveur.
Pour que cela fonctionne correctement, il faut que le routeur, la box,
ou de manière plus générale l'équipement qui connecte le client
problématique à Internet comprenne le protocole FTP et sache le
décortiquer afin de remplacer à la volée, dans la commande "PORT",
l'adresse IP privée de la machine cliente sur le LAN, par l'adresse
publique du routeur (avec un éventuel changement de port à la clef si
c'est nécessaire).
C'est la raison la plus probable, à mon avis, de ce mauvais
fonctionnement, mais malheureusement, vous n'y pouvez pas grand-chose, à
part conseiller à vos interlocuteurs de passer en mode passif...
Cela dit, je suis assez d'accord avec le commentaire de Nicolas George
sur le côté un peu obsolète, désormais, du protocole FTP, qui peut
avantageusement être remplacé par SFTP ou autre chose. Mais bon, il est
évident qu'une telle décision ne peut se faire que si tous vos
correspondants sont à même d'utiliser le nouveau protocole...
Bonjour,
Si vous autorisez les connexions sortantes (nécessaires à
l'établissement d'une connexion de données en mode actif sur votre
serveur FTP), votre configuration semble correcte, mais certains de vos
correspondants sont peut-être situés derrière des
routeurs/firewalls/autre qui ne comprennent pas le protocole FTP, ce qui
empêche un fonctionnement correct du mode actif: en effet si le client
FTP de votre correspondant utilise ce mode, la commande "PORT" qu'il
enverra à votre serveur inclura son adresse IP *privée*, celle utilisée
sur son LAN, et qui est inaccessible à votre serveur.
Pour que cela fonctionne correctement, il faut que le routeur, la box,
ou de manière plus générale l'équipement qui connecte le client
problématique à Internet comprenne le protocole FTP et sache le
décortiquer afin de remplacer à la volée, dans la commande "PORT",
l'adresse IP privée de la machine cliente sur le LAN, par l'adresse
publique du routeur (avec un éventuel changement de port à la clef si
c'est nécessaire).
C'est la raison la plus probable, à mon avis, de ce mauvais
fonctionnement, mais malheureusement, vous n'y pouvez pas grand-chose, à
part conseiller à vos interlocuteurs de passer en mode passif...
Cela dit, je suis assez d'accord avec le commentaire de Nicolas George
sur le côté un peu obsolète, désormais, du protocole FTP, qui peut
avantageusement être remplacé par SFTP ou autre chose. Mais bon, il est
évident qu'une telle décision ne peut se faire que si tous vos
correspondants sont à même d'utiliser le nouveau protocole...
J'ai fait il y a quelques jours une petite capture avec wireshark. Mon
interpétation est loin d'être sûre mais il me semble que tout est correct
sauf une chose : La requête LIST transmise par le client (qui a bien adopté
le mode passif) n'est pas adressée vers le port 30063 que vient de lui
désigner le serveur mais vers le port 21. Cette interprétation est elle
exacte ? Quel est le fautif ? Je suis tenté de dire le client mais je trouve
aussi le serveur un peu prompt à devenir sourd sur le port 21...
Cela dit, je suis assez d'accord avec le commentaire de Nicolas George
sur le côté un peu obsolète, désormais, du protocole FTP, qui peut
avantageusement être remplacé par SFTP ou autre chose. Mais bon, il est
évident qu'une telle décision ne peut se faire que si tous vos
correspondants sont à même d'utiliser le nouveau protocole...
J'en vois bien le double intérêt : Sécurité et utilisation d'un seul port.
Je vais leur en parler, merci.
J'ai fait il y a quelques jours une petite capture avec wireshark. Mon
interpétation est loin d'être sûre mais il me semble que tout est correct
sauf une chose : La requête LIST transmise par le client (qui a bien adopté
le mode passif) n'est pas adressée vers le port 30063 que vient de lui
désigner le serveur mais vers le port 21. Cette interprétation est elle
exacte ? Quel est le fautif ? Je suis tenté de dire le client mais je trouve
aussi le serveur un peu prompt à devenir sourd sur le port 21...
Cela dit, je suis assez d'accord avec le commentaire de Nicolas George
sur le côté un peu obsolète, désormais, du protocole FTP, qui peut
avantageusement être remplacé par SFTP ou autre chose. Mais bon, il est
évident qu'une telle décision ne peut se faire que si tous vos
correspondants sont à même d'utiliser le nouveau protocole...
J'en vois bien le double intérêt : Sécurité et utilisation d'un seul port.
Je vais leur en parler, merci.
J'ai fait il y a quelques jours une petite capture avec wireshark. Mon
interpétation est loin d'être sûre mais il me semble que tout est correct
sauf une chose : La requête LIST transmise par le client (qui a bien adopté
le mode passif) n'est pas adressée vers le port 30063 que vient de lui
désigner le serveur mais vers le port 21. Cette interprétation est elle
exacte ? Quel est le fautif ? Je suis tenté de dire le client mais je trouve
aussi le serveur un peu prompt à devenir sourd sur le port 21...
Cela dit, je suis assez d'accord avec le commentaire de Nicolas George
sur le côté un peu obsolète, désormais, du protocole FTP, qui peut
avantageusement être remplacé par SFTP ou autre chose. Mais bon, il est
évident qu'une telle décision ne peut se faire que si tous vos
correspondants sont à même d'utiliser le nouveau protocole...
J'en vois bien le double intérêt : Sécurité et utilisation d'un seul port.
Je vais leur en parler, merci.
Il est normal que la commande "LIST" soit adressée au port 21. Ce qui
devrait se passer ensuite, en revanche, c'est que les données passent
sur le canal... de données. ;-) En mode passif, celui-ci est établi dans
le même sens que la connexion de commande, mais vers un port > 1023
comme vous le savez, or votre capture ne montre que ce qui se passe sur
le port 21 (en source ou destination). Pour bien analyser ce qui se
passe, il faudrait donc également la trace depuis et vers le port alloué
dynamiquement par le serveur FTP lors du passage en mode passif... Mais
d'après ce que je vois (absence de réponse 150 de la part du serveur),
il y a de grandes chances que ce canal de données n'ait pas pu s'établir.
Je vais faire un test ou deux plus tard dans la soirée.
Autre question: je suis peut-être mal réveillé (quoique, à cette
heure-ci normalement, la sieste est finie ;-) ), mais je vois que votre
IP publique apparaît dans la réponse de votre serveur à la commande
PASV... Vous l'avez configurée quelque part dans Pure-FTPd ? Si c'était
votre routeur/firewall qui s'était chargé du boulot, c'est votre adresse
privée qu'on aurait dû voir à cet endroit...
Il est normal que la commande "LIST" soit adressée au port 21. Ce qui
devrait se passer ensuite, en revanche, c'est que les données passent
sur le canal... de données. ;-) En mode passif, celui-ci est établi dans
le même sens que la connexion de commande, mais vers un port > 1023
comme vous le savez, or votre capture ne montre que ce qui se passe sur
le port 21 (en source ou destination). Pour bien analyser ce qui se
passe, il faudrait donc également la trace depuis et vers le port alloué
dynamiquement par le serveur FTP lors du passage en mode passif... Mais
d'après ce que je vois (absence de réponse 150 de la part du serveur),
il y a de grandes chances que ce canal de données n'ait pas pu s'établir.
Je vais faire un test ou deux plus tard dans la soirée.
Autre question: je suis peut-être mal réveillé (quoique, à cette
heure-ci normalement, la sieste est finie ;-) ), mais je vois que votre
IP publique apparaît dans la réponse de votre serveur à la commande
PASV... Vous l'avez configurée quelque part dans Pure-FTPd ? Si c'était
votre routeur/firewall qui s'était chargé du boulot, c'est votre adresse
privée qu'on aurait dû voir à cet endroit...
Il est normal que la commande "LIST" soit adressée au port 21. Ce qui
devrait se passer ensuite, en revanche, c'est que les données passent
sur le canal... de données. ;-) En mode passif, celui-ci est établi dans
le même sens que la connexion de commande, mais vers un port > 1023
comme vous le savez, or votre capture ne montre que ce qui se passe sur
le port 21 (en source ou destination). Pour bien analyser ce qui se
passe, il faudrait donc également la trace depuis et vers le port alloué
dynamiquement par le serveur FTP lors du passage en mode passif... Mais
d'après ce que je vois (absence de réponse 150 de la part du serveur),
il y a de grandes chances que ce canal de données n'ait pas pu s'établir.
Je vais faire un test ou deux plus tard dans la soirée.
Autre question: je suis peut-être mal réveillé (quoique, à cette
heure-ci normalement, la sieste est finie ;-) ), mais je vois que votre
IP publique apparaît dans la réponse de votre serveur à la commande
PASV... Vous l'avez configurée quelque part dans Pure-FTPd ? Si c'était
votre routeur/firewall qui s'était chargé du boulot, c'est votre adresse
privée qu'on aurait dû voir à cet endroit...
Par ailleurs, j'ai personnellement réussi une connexion de l'extérieur, en
mode passif
Par ailleurs, j'ai personnellement réussi une connexion de l'extérieur, en
mode passif
Par ailleurs, j'ai personnellement réussi une connexion de l'extérieur, en
mode passif
Par ailleurs, j'ai personnellement réussi une connexion de l'extérieur, en
mode passif
Moi pas. Mon client essuie un refus de la connexion sur le port passif
et se replie en mode actif - qui fonctionne.
227 Entering Passive Mode (83,203,8,243,117,216)
ftp: Can't connect to `83.203.8.243': Connection refused
200 PORT command successful
150 Connecting to port 59694
Le paquet RST reçu du port passif a un TTL de 51 alors que les paquets
reçus du port 21 ou de la connexion de données en mode actif ont un TTL
de 50, ce qui peut laisser penser que c'est au niveau du routeur que ça
coince. Ou bien un pare-feu sur le serveur.
Par ailleurs, j'ai personnellement réussi une connexion de l'extérieur, en
mode passif
Moi pas. Mon client essuie un refus de la connexion sur le port passif
et se replie en mode actif - qui fonctionne.
227 Entering Passive Mode (83,203,8,243,117,216)
ftp: Can't connect to `83.203.8.243': Connection refused
200 PORT command successful
150 Connecting to port 59694
Le paquet RST reçu du port passif a un TTL de 51 alors que les paquets
reçus du port 21 ou de la connexion de données en mode actif ont un TTL
de 50, ce qui peut laisser penser que c'est au niveau du routeur que ça
coince. Ou bien un pare-feu sur le serveur.
Par ailleurs, j'ai personnellement réussi une connexion de l'extérieur, en
mode passif
Moi pas. Mon client essuie un refus de la connexion sur le port passif
et se replie en mode actif - qui fonctionne.
227 Entering Passive Mode (83,203,8,243,117,216)
ftp: Can't connect to `83.203.8.243': Connection refused
200 PORT command successful
150 Connecting to port 59694
Le paquet RST reçu du port passif a un TTL de 51 alors que les paquets
reçus du port 21 ou de la connexion de données en mode actif ont un TTL
de 50, ce qui peut laisser penser que c'est au niveau du routeur que ça
coince. Ou bien un pare-feu sur le serveur.
Le 24/05/2011 20:02, *Pascal Hambourg* a écrit fort à propos :Par ailleurs, j'ai personnellement réussi une connexion de
l'extérieur, en
mode passif
Moi pas. Mon client essuie un refus de la connexion sur le port passif
et se replie en mode actif - qui fonctionne.
Euh, désolé, lors de mon essai réussi gftp était configuré pour utiliser
le mode passif mais j'ignore totalement s'il n'a pas basculé
automatiquement vers le mode actif.
Je ne saisis pas encore ce que ça signifie mais je peux déjà dire
qu'aucun pare-feu n'est actif sur mon pc. Seul à ma connaissance mon
modem-routeur (Speedtouch 716v5) filtre ce qui entre. N'ai-je pas eu
tort de « forwarder » les ports 30000-30199 avec trigger-port 21 ?
Le 24/05/2011 20:02, *Pascal Hambourg* a écrit fort à propos :
Par ailleurs, j'ai personnellement réussi une connexion de
l'extérieur, en
mode passif
Moi pas. Mon client essuie un refus de la connexion sur le port passif
et se replie en mode actif - qui fonctionne.
Euh, désolé, lors de mon essai réussi gftp était configuré pour utiliser
le mode passif mais j'ignore totalement s'il n'a pas basculé
automatiquement vers le mode actif.
Je ne saisis pas encore ce que ça signifie mais je peux déjà dire
qu'aucun pare-feu n'est actif sur mon pc. Seul à ma connaissance mon
modem-routeur (Speedtouch 716v5) filtre ce qui entre. N'ai-je pas eu
tort de « forwarder » les ports 30000-30199 avec trigger-port 21 ?
Le 24/05/2011 20:02, *Pascal Hambourg* a écrit fort à propos :Par ailleurs, j'ai personnellement réussi une connexion de
l'extérieur, en
mode passif
Moi pas. Mon client essuie un refus de la connexion sur le port passif
et se replie en mode actif - qui fonctionne.
Euh, désolé, lors de mon essai réussi gftp était configuré pour utiliser
le mode passif mais j'ignore totalement s'il n'a pas basculé
automatiquement vers le mode actif.
Je ne saisis pas encore ce que ça signifie mais je peux déjà dire
qu'aucun pare-feu n'est actif sur mon pc. Seul à ma connaissance mon
modem-routeur (Speedtouch 716v5) filtre ce qui entre. N'ai-je pas eu
tort de « forwarder » les ports 30000-30199 avec trigger-port 21 ?
Je reviens sur la configuration de ce dernier d'ailleurs: je ne suis pas
sûr de bien comprendre le fonctionnement, sur votre routeur, de la
fonction "port triggering". Sur le mien, cette fonction sert à réaliser
à la volée des redirections entrantes (du "port forwarding", donc), mais
vers un hôte du LAN qui n'est pas systématiquement le même à chaque
fois: les paquets entrants seront forwardés vers l'hôte à l'origine de
la connexion *sortante* sur un port donné.
Si votre routeur fonctionne un peu de la même manière, il se peut que le
problème se situe là, puisque si j'ai bien compris votre conf, vous
souhaitez que les ports "hauts" (de 30000 à 30199) ne s'ouvrent que sur
réception d'un premier paquet *entrant* sur le port 21 (bon, bien sûr,
après ce 1er paquet TCP il y a des réponses dans le sens sortant depuis
ce port, mais je ne suis pas certain que cela soit pris en compte par le
mécanisme de "port triggering").
Pourriez-vous, juste pour voir, supprimer la dépendance dans la colonne
"port triggering" sur votre configuration de port forwarding ?
Je reviens sur la configuration de ce dernier d'ailleurs: je ne suis pas
sûr de bien comprendre le fonctionnement, sur votre routeur, de la
fonction "port triggering". Sur le mien, cette fonction sert à réaliser
à la volée des redirections entrantes (du "port forwarding", donc), mais
vers un hôte du LAN qui n'est pas systématiquement le même à chaque
fois: les paquets entrants seront forwardés vers l'hôte à l'origine de
la connexion *sortante* sur un port donné.
Si votre routeur fonctionne un peu de la même manière, il se peut que le
problème se situe là, puisque si j'ai bien compris votre conf, vous
souhaitez que les ports "hauts" (de 30000 à 30199) ne s'ouvrent que sur
réception d'un premier paquet *entrant* sur le port 21 (bon, bien sûr,
après ce 1er paquet TCP il y a des réponses dans le sens sortant depuis
ce port, mais je ne suis pas certain que cela soit pris en compte par le
mécanisme de "port triggering").
Pourriez-vous, juste pour voir, supprimer la dépendance dans la colonne
"port triggering" sur votre configuration de port forwarding ?
Je reviens sur la configuration de ce dernier d'ailleurs: je ne suis pas
sûr de bien comprendre le fonctionnement, sur votre routeur, de la
fonction "port triggering". Sur le mien, cette fonction sert à réaliser
à la volée des redirections entrantes (du "port forwarding", donc), mais
vers un hôte du LAN qui n'est pas systématiquement le même à chaque
fois: les paquets entrants seront forwardés vers l'hôte à l'origine de
la connexion *sortante* sur un port donné.
Si votre routeur fonctionne un peu de la même manière, il se peut que le
problème se situe là, puisque si j'ai bien compris votre conf, vous
souhaitez que les ports "hauts" (de 30000 à 30199) ne s'ouvrent que sur
réception d'un premier paquet *entrant* sur le port 21 (bon, bien sûr,
après ce 1er paquet TCP il y a des réponses dans le sens sortant depuis
ce port, mais je ne suis pas certain que cela soit pris en compte par le
mécanisme de "port triggering").
Pourriez-vous, juste pour voir, supprimer la dépendance dans la colonne
"port triggering" sur votre configuration de port forwarding ?
Le 24/05/2011 22:43, *Bruno Tréguier* a écrit fort à propos :Pourriez-vous, juste pour voir, supprimer la dépendance dans la colonne
"port triggering" sur votre configuration de port forwarding ?
Voilà, je viens de le faire.
Le 24/05/2011 22:43, *Bruno Tréguier* a écrit fort à propos :
Pourriez-vous, juste pour voir, supprimer la dépendance dans la colonne
"port triggering" sur votre configuration de port forwarding ?
Voilà, je viens de le faire.
Le 24/05/2011 22:43, *Bruno Tréguier* a écrit fort à propos :Pourriez-vous, juste pour voir, supprimer la dépendance dans la colonne
"port triggering" sur votre configuration de port forwarding ?
Voilà, je viens de le faire.