Pour des échanges de documents avec quelques correspondants, j'ai installé
pure-ftpd sur mon pc. J'ai créé les utilisateurs virtuels en suivant les
indications de Léa :
http://www.lea-linux.org/documentations/index.php/Reseau-partfic-pureftpd
En local, tout fonctionne parfaitement. (Client en mode actif.)
Malheureusement, plusieurs correspondants se plaignent de ne pouvoir se
connecter ou, plus exactement, de ne pas obtenir la liste des fichiers de
leur répertoire. Je me demande donc si les règles de NAT que j'ai créées
dans mon modem-routeur sont correctes. Tel que je l'ai configuré, le serveur
propose pour les données un port dans la plage 30000-30199. (Mode passif)
Règle NAT créée au bénéfice de mon poste dont l'ip locale est fixe :
Le 24/05/2011 23:21, *Pascal Hambourg* a écrit fort à propos :
Une hypothèse serait que le problème vienne de ce que le serveur indique l'adresse publique (du routeur) et non l'adresse privée dans sa réponse à la commande PASV. C'est ce qu'il faut faire lorsque le routeur ne comprend pas le protocole FTP en mode passif, mais j'imagine que cela peut l'induire en erreur dans le cas contraire. Dans ce cas la tentative de connexion au port passif pourrait aboutir sur le routeur lui-même, dont le port correspondant et évidemment fermé, d'où le RST.
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Le 24/05/2011 23:21, *Pascal Hambourg* a écrit fort à propos :
Une hypothèse serait que le problème vienne de ce que le serveur indique
l'adresse publique (du routeur) et non l'adresse privée dans sa réponse
à la commande PASV. C'est ce qu'il faut faire lorsque le routeur ne
comprend pas le protocole FTP en mode passif, mais j'imagine que cela
peut l'induire en erreur dans le cas contraire. Dans ce cas la tentative
de connexion au port passif pourrait aboutir sur le routeur lui-même,
dont le port correspondant et évidemment fermé, d'où le RST.
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?
Le 24/05/2011 23:21, *Pascal Hambourg* a écrit fort à propos :
Une hypothèse serait que le problème vienne de ce que le serveur indique l'adresse publique (du routeur) et non l'adresse privée dans sa réponse à la commande PASV. C'est ce qu'il faut faire lorsque le routeur ne comprend pas le protocole FTP en mode passif, mais j'imagine que cela peut l'induire en erreur dans le cas contraire. Dans ce cas la tentative de connexion au port passif pourrait aboutir sur le routeur lui-même, dont le port correspondant et évidemment fermé, d'où le RST.
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Pascal Hambourg
geo cherchetout a écrit :
Le 24/05/2011 23:21, *Pascal Hambourg* a écrit fort à propos :
Une hypothèse serait que le problème vienne de ce que le serveur indique l'adresse publique (du routeur) et non l'adresse privée dans sa réponse à la commande PASV. C'est ce qu'il faut faire lorsque le routeur ne comprend pas le protocole FTP en mode passif, mais j'imagine que cela peut l'induire en erreur dans le cas contraire. Dans ce cas la tentative de connexion au port passif pourrait aboutir sur le routeur lui-même, dont le port correspondant et évidemment fermé, d'où le RST.
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail correctement. Et a priori tu devrais pouvoir supprimer la redirection de la plage de ports.
ftp> ls 227 Entering Passive Mode (83,203,8,243,117,169) 150 Accepted data connection drwxrwxr-x 2 502 ftpgroup 4096 May 21 16:55 . drwxrwxr-x 2 502 ftpgroup 4096 May 21 16:55 .. -rw-rw---- 1 502 ftpgroup 2219328 May 14 14:47 le_joueur_de_turlututu.ogg
geo cherchetout a écrit :
Le 24/05/2011 23:21, *Pascal Hambourg* a écrit fort à propos :
Une hypothèse serait que le problème vienne de ce que le serveur indique
l'adresse publique (du routeur) et non l'adresse privée dans sa réponse
à la commande PASV. C'est ce qu'il faut faire lorsque le routeur ne
comprend pas le protocole FTP en mode passif, mais j'imagine que cela
peut l'induire en erreur dans le cas contraire. Dans ce cas la tentative
de connexion au port passif pourrait aboutir sur le routeur lui-même,
dont le port correspondant et évidemment fermé, d'où le RST.
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail
correctement. Et a priori tu devrais pouvoir supprimer la redirection de
la plage de ports.
ftp> ls
227 Entering Passive Mode (83,203,8,243,117,169)
150 Accepted data connection
drwxrwxr-x 2 502 ftpgroup 4096 May 21 16:55 .
drwxrwxr-x 2 502 ftpgroup 4096 May 21 16:55 ..
-rw-rw---- 1 502 ftpgroup 2219328 May 14 14:47
le_joueur_de_turlututu.ogg
Le 24/05/2011 23:21, *Pascal Hambourg* a écrit fort à propos :
Une hypothèse serait que le problème vienne de ce que le serveur indique l'adresse publique (du routeur) et non l'adresse privée dans sa réponse à la commande PASV. C'est ce qu'il faut faire lorsque le routeur ne comprend pas le protocole FTP en mode passif, mais j'imagine que cela peut l'induire en erreur dans le cas contraire. Dans ce cas la tentative de connexion au port passif pourrait aboutir sur le routeur lui-même, dont le port correspondant et évidemment fermé, d'où le RST.
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail correctement. Et a priori tu devrais pouvoir supprimer la redirection de la plage de ports.
ftp> ls 227 Entering Passive Mode (83,203,8,243,117,169) 150 Accepted data connection drwxrwxr-x 2 502 ftpgroup 4096 May 21 16:55 . drwxrwxr-x 2 502 ftpgroup 4096 May 21 16:55 .. -rw-rw---- 1 502 ftpgroup 2219328 May 14 14:47 le_joueur_de_turlututu.ogg
geo cherchetout
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail correctement. Et a priori tu devrais pouvoir supprimer la redirection de la plage de ports.
Voilà voilà.
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail
correctement. Et a priori tu devrais pouvoir supprimer la redirection de
la plage de ports.
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail correctement. Et a priori tu devrais pouvoir supprimer la redirection de la plage de ports.
Voilà voilà.
Pascal Hambourg
geo cherchetout a écrit :
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail correctement. Et a priori tu devrais pouvoir supprimer la redirection de la plage de ports.
Voilà voilà.
Ça marche encore. Donc le routeur faisait déjà par défaut tout le boulot de modification de l'adresse passive et redirection du port passif - ce qu'est censé faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
geo cherchetout a écrit :
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail
correctement. Et a priori tu devrais pouvoir supprimer la redirection de
la plage de ports.
Voilà voilà.
Ça marche encore.
Donc le routeur faisait déjà par défaut tout le boulot de modification
de l'adresse passive et redirection du port passif - ce qu'est censé
faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail correctement. Et a priori tu devrais pouvoir supprimer la redirection de la plage de ports.
Voilà voilà.
Ça marche encore. Donc le routeur faisait déjà par défaut tout le boulot de modification de l'adresse passive et redirection du port passif - ce qu'est censé faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
Bruno Tréguier
Le 24/05/2011 à 23:41, Pascal Hambourg a écrit :
geo cherchetout a écrit :
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail correctement. Et a priori tu devrais pouvoir supprimer la redirection de la plage de ports.
Voilà voilà.
Ça marche encore. Donc le routeur faisait déjà par défaut tout le boulot de modification de l'adresse passive et redirection du port passif - ce qu'est censé faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
Bon ben j'arrive après la bataille, donc. Bravo à Pascal et bonne soirée à tout le monde. ;-)
Cordialement,
-- Bruno Tréguier
Le 24/05/2011 à 23:41, Pascal Hambourg a écrit :
geo cherchetout a écrit :
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail
correctement. Et a priori tu devrais pouvoir supprimer la redirection de
la plage de ports.
Voilà voilà.
Ça marche encore.
Donc le routeur faisait déjà par défaut tout le boulot de modification
de l'adresse passive et redirection du port passif - ce qu'est censé
faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
Bon ben j'arrive après la bataille, donc. Bravo à Pascal et bonne soirée
à tout le monde. ;-)
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :
Peux-tu tester en laissant le serveur indiquer son adresse privée, comme ça doit être par défaut ?
C'est fait.
Apparemment ça marche, maintenant le routeur fait le travail correctement. Et a priori tu devrais pouvoir supprimer la redirection de la plage de ports.
Voilà voilà.
Ça marche encore. Donc le routeur faisait déjà par défaut tout le boulot de modification de l'adresse passive et redirection du port passif - ce qu'est censé faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
Bon ben j'arrive après la bataille, donc. Bravo à Pascal et bonne soirée à tout le monde. ;-)
Cordialement,
-- Bruno Tréguier
geo cherchetout
Le 24/05/2011 23:41, *Pascal Hambourg* a écrit fort à propos :
Ça marche encore. Donc le routeur faisait déjà par défaut tout le boulot de modification de l'adresse passive et redirection du port passif - ce qu'est censé faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
Eh bien, c'est d'une sacrée épine dans le pied que me voici débarrassé. :-) Par le fait, j'ai eu successivement trois modèles de modems-routeurs adsl, SpeedTouch Home bidouillé, SpeedTouch 510v5 et enfin SpeedTouch 716v5. On peut concevoir que telle configuration nécessaire pour le plus ancien soit inadéquate pour le plus récent. (Trop intelligent pour moi. ;-))
Merci à tous, il ne me reste plus qu'à rechercher la signification réelle du port-triggering. Il n'est jamais trop tard.
Une dernière question quand-même : Cette formule de FTP over SSH vous semble-t-elle convenable ? https://wiki.archlinux.org/index.php/SFTP
Le 24/05/2011 23:41, *Pascal Hambourg* a écrit fort à propos :
Ça marche encore.
Donc le routeur faisait déjà par défaut tout le boulot de modification
de l'adresse passive et redirection du port passif - ce qu'est censé
faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
Eh bien, c'est d'une sacrée épine dans le pied que me voici débarrassé. :-)
Par le fait, j'ai eu successivement trois modèles de modems-routeurs adsl,
SpeedTouch Home bidouillé, SpeedTouch 510v5 et enfin SpeedTouch 716v5. On
peut concevoir que telle configuration nécessaire pour le plus ancien soit
inadéquate pour le plus récent. (Trop intelligent pour moi. ;-))
Merci à tous, il ne me reste plus qu'à rechercher la signification réelle du
port-triggering. Il n'est jamais trop tard.
Une dernière question quand-même : Cette formule de FTP over SSH vous
semble-t-elle convenable ? https://wiki.archlinux.org/index.php/SFTP
Le 24/05/2011 23:41, *Pascal Hambourg* a écrit fort à propos :
Ça marche encore. Donc le routeur faisait déjà par défaut tout le boulot de modification de l'adresse passive et redirection du port passif - ce qu'est censé faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
Eh bien, c'est d'une sacrée épine dans le pied que me voici débarrassé. :-) Par le fait, j'ai eu successivement trois modèles de modems-routeurs adsl, SpeedTouch Home bidouillé, SpeedTouch 510v5 et enfin SpeedTouch 716v5. On peut concevoir que telle configuration nécessaire pour le plus ancien soit inadéquate pour le plus récent. (Trop intelligent pour moi. ;-))
Merci à tous, il ne me reste plus qu'à rechercher la signification réelle du port-triggering. Il n'est jamais trop tard.
Une dernière question quand-même : Cette formule de FTP over SSH vous semble-t-elle convenable ? https://wiki.archlinux.org/index.php/SFTP
Pascal Hambourg
geo cherchetout a écrit :
Une dernière question quand-même : Cette formule de FTP over SSH vous semble-t-elle convenable ? https://wiki.archlinux.org/index.php/SFTP
SFTP est un protocole de transfert de fichier sur SSH, ce n'est pas du FTP sur SSH. Il a pour avantage d'être sécurisé et plus facile à NATer que FTP ou sa variante sécurisé FTPS (pour lequel la prise en charge FTP du routeur est inopérante) puisqu'il n'implique qu'une seule connexion TCP sur un port fixe. Par contre il faut un client qui le gère comme Filezilla, et par défaut SSH accorde un accès shell au serveur qu'il faut désactiver si on n'en veut pas.
geo cherchetout a écrit :
Une dernière question quand-même : Cette formule de FTP over SSH vous
semble-t-elle convenable ? https://wiki.archlinux.org/index.php/SFTP
SFTP est un protocole de transfert de fichier sur SSH, ce n'est pas du
FTP sur SSH. Il a pour avantage d'être sécurisé et plus facile à NATer
que FTP ou sa variante sécurisé FTPS (pour lequel la prise en charge FTP
du routeur est inopérante) puisqu'il n'implique qu'une seule connexion
TCP sur un port fixe. Par contre il faut un client qui le gère comme
Filezilla, et par défaut SSH accorde un accès shell au serveur qu'il
faut désactiver si on n'en veut pas.
Une dernière question quand-même : Cette formule de FTP over SSH vous semble-t-elle convenable ? https://wiki.archlinux.org/index.php/SFTP
SFTP est un protocole de transfert de fichier sur SSH, ce n'est pas du FTP sur SSH. Il a pour avantage d'être sécurisé et plus facile à NATer que FTP ou sa variante sécurisé FTPS (pour lequel la prise en charge FTP du routeur est inopérante) puisqu'il n'implique qu'une seule connexion TCP sur un port fixe. Par contre il faut un client qui le gère comme Filezilla, et par défaut SSH accorde un accès shell au serveur qu'il faut désactiver si on n'en veut pas.
Pascal Hambourg
Nicolas George a écrit :
Que le FTP est un protocole de merde et qu'il commencerait à être temps de le laisser crever.
Et pour les autres protocoles composites qui fonctionnent sur le même principe, comme SIP, on fait quoi ?
Nicolas George a écrit :
Que le FTP est un protocole de merde et qu'il commencerait à être temps de
le laisser crever.
Et pour les autres protocoles composites qui fonctionnent sur le même
principe, comme SIP, on fait quoi ?
