Serveur ftp et NAPT

Le
geo cherchetout
Bonjour,

Pour des échanges de documents avec quelques correspondants, j'ai installé
pure-ftpd sur mon pc. J'ai créé les utilisateurs virtuels en suivant les
indications de Léa :
http://www.lea-linux.org/documentations/index.php/Reseau-partfic-pureftpd
En local, tout fonctionne parfaitement. (Client en mode actif.)
Malheureusement, plusieurs correspondants se plaignent de ne pouvoir se
connecter ou, plus exactement, de ne pas obtenir la liste des fichiers de
leur répertoire. Je me demande donc si les règles de NAT que j'ai créées
dans mon modem-routeur sont correctes. Tel que je l'ai configuré, le serveur
propose pour les données un port dans la plage 30000-30199. (Mode passif)
Règle NAT créée au bénéfice de mon poste dont l'ip locale est fixe :

Protocol Port_Range Translate_to Trigger_Protocol Trigger_Port
**************************************************************************
TCP 21-21 21-21
TCP 30000-30199 30000-30199 TCP 21

Qu'en dîtes vous ?
Vos réponses Page 2 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
geo cherchetout
Le #23389471
Le 24/05/2011 23:21, *Pascal Hambourg* a écrit fort à propos :

Une hypothèse serait que le problème vienne de ce que le serveur indique
l'adresse publique (du routeur) et non l'adresse privée dans sa réponse
à la commande PASV. C'est ce qu'il faut faire lorsque le routeur ne
comprend pas le protocole FTP en mode passif, mais j'imagine que cela
peut l'induire en erreur dans le cas contraire. Dans ce cas la tentative
de connexion au port passif pourrait aboutir sur le routeur lui-même,
dont le port correspondant et évidemment fermé, d'où le RST.

Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?



C'est fait.
Pascal Hambourg
Le #23389461
geo cherchetout a écrit :
Le 24/05/2011 23:21, *Pascal Hambourg* a écrit fort à propos :

Une hypothèse serait que le problème vienne de ce que le serveur indique
l'adresse publique (du routeur) et non l'adresse privée dans sa réponse
à la commande PASV. C'est ce qu'il faut faire lorsque le routeur ne
comprend pas le protocole FTP en mode passif, mais j'imagine que cela
peut l'induire en erreur dans le cas contraire. Dans ce cas la tentative
de connexion au port passif pourrait aboutir sur le routeur lui-même,
dont le port correspondant et évidemment fermé, d'où le RST.

Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?



C'est fait.



Apparemment ça marche, maintenant le routeur fait le travail
correctement. Et a priori tu devrais pouvoir supprimer la redirection de
la plage de ports.

ftp> ls
227 Entering Passive Mode (83,203,8,243,117,169)
150 Accepted data connection
drwxrwxr-x 2 502 ftpgroup 4096 May 21 16:55 .
drwxrwxr-x 2 502 ftpgroup 4096 May 21 16:55 ..
-rw-rw---- 1 502 ftpgroup 2219328 May 14 14:47
le_joueur_de_turlututu.ogg
geo cherchetout
Le #23389511
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :

Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?



C'est fait.



Apparemment ça marche, maintenant le routeur fait le travail
correctement. Et a priori tu devrais pouvoir supprimer la redirection de
la plage de ports.



Voilà voilà.
Pascal Hambourg
Le #23389501
geo cherchetout a écrit :
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :

Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?


C'est fait.


Apparemment ça marche, maintenant le routeur fait le travail
correctement. Et a priori tu devrais pouvoir supprimer la redirection de
la plage de ports.



Voilà voilà.



Ça marche encore.
Donc le routeur faisait déjà par défaut tout le boulot de modification
de l'adresse passive et redirection du port passif - ce qu'est censé
faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.
Bruno Tréguier
Le #23389531
Le 24/05/2011 à 23:41, Pascal Hambourg a écrit :
geo cherchetout a écrit :
Le 24/05/2011 23:31, *Pascal Hambourg* a écrit fort à propos :

Peux-tu tester en laissant le serveur indiquer son adresse privée, comme
ça doit être par défaut ?


C'est fait.


Apparemment ça marche, maintenant le routeur fait le travail
correctement. Et a priori tu devrais pouvoir supprimer la redirection de
la plage de ports.



Voilà voilà.



Ça marche encore.
Donc le routeur faisait déjà par défaut tout le boulot de modification
de l'adresse passive et redirection du port passif - ce qu'est censé
faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.



Bon ben j'arrive après la bataille, donc. Bravo à Pascal et bonne soirée
à tout le monde. ;-)

Cordialement,

--
Bruno Tréguier
geo cherchetout
Le #23389521
Le 24/05/2011 23:41, *Pascal Hambourg* a écrit fort à propos :

Ça marche encore.
Donc le routeur faisait déjà par défaut tout le boulot de modification
de l'adresse passive et redirection du port passif - ce qu'est censé
faire tout routeur NAT digne de ce nom qui prétend gérer le protocole FTP.



Eh bien, c'est d'une sacrée épine dans le pied que me voici débarrassé. :-)
Par le fait, j'ai eu successivement trois modèles de modems-routeurs adsl,
SpeedTouch Home bidouillé, SpeedTouch 510v5 et enfin SpeedTouch 716v5. On
peut concevoir que telle configuration nécessaire pour le plus ancien soit
inadéquate pour le plus récent. (Trop intelligent pour moi. ;-))

Merci à tous, il ne me reste plus qu'à rechercher la signification réelle du
port-triggering. Il n'est jamais trop tard.

Une dernière question quand-même : Cette formule de FTP over SSH vous
semble-t-elle convenable ? https://wiki.archlinux.org/index.php/SFTP
Pascal Hambourg
Le #23389691
geo cherchetout a écrit :

Une dernière question quand-même : Cette formule de FTP over SSH vous
semble-t-elle convenable ? https://wiki.archlinux.org/index.php/SFTP



SFTP est un protocole de transfert de fichier sur SSH, ce n'est pas du
FTP sur SSH. Il a pour avantage d'être sécurisé et plus facile à NATer
que FTP ou sa variante sécurisé FTPS (pour lequel la prise en charge FTP
du routeur est inopérante) puisqu'il n'implique qu'une seule connexion
TCP sur un port fixe. Par contre il faut un client qui le gère comme
Filezilla, et par défaut SSH accorde un accès shell au serveur qu'il
faut désactiver si on n'en veut pas.
Pascal Hambourg
Le #23389681
Nicolas George a écrit :

Que le FTP est un protocole de merde et qu'il commencerait à être temps de
le laisser crever.



Et pour les autres protocoles composites qui fonctionnent sur le même
principe, comme SIP, on fait quoi ?
Bruno Tréguier
Le #23391101
Le 25/05/2011 06:35, Pascal Hambourg a écrit :
Nicolas George a écrit :

Que le FTP est un protocole de merde et qu'il commencerait à être temps de
le laisser crever.



Et pour les autres protocoles composites qui fonctionnent sur le même
principe, comme SIP, on fait quoi ?



On met à la poubelle et on choisit H.323 ?

Bah quoi, j'ai dit une c***erie ? ;-)

--
Bruno Tréguier
Le Forgeron
Le #23398771
Le 25/05/2011 06:35, Pascal Hambourg nous fit lire :
Nicolas George a écrit :

Que le FTP est un protocole de merde et qu'il commencerait à être temps de
le laisser crever.



Et pour les autres protocoles composites qui fonctionnent sur le même
principe, comme SIP, on fait quoi ?



Nicolas George se trompe d'ennemi: c'est IPv4+Nat qu'il faut mettre à la
décharge! (avec une compagnie de CRS à demeure pour l'empêcher d'en
resortir)
Publicité
Poster une réponse
Anonyme