Reprise du message précédent :

Aaaaah la musique de turrican....

Si tu ricanes, j'étripes
 
 
 
 
 
 
 
 

les zamis

Et merde, j'viens d'apprendre que le guitariste de Pantera est mort

ça fait un mois, oui

Ouais, je débarque là

trop kikool lol megateuf : BO de ghost in the shell 2 à 20$ en import fdpin )

salut les gens
 
dites, j'ai un vieux doute, il faut faire quoi pour pouvoir se connecter en mode actif sur un ftp derrière un fw iptables ? (il me semble me souvenir d'un module à charger ou d'un port à ouvrir mais je sais plus lequel, le 20 ?)

ip_conntrack_ftp
 
Pas besoin de NAT tu passes par du stateful.

merci, je vais tester

Pour info c'est 21 le port du ftp.

oui, le port distant, mais il me semble que pour faire de l'actif, il faut ouvrir le 20 en entrée (faut que je retrouve où j'ai lu ça)

oui le data

C'est un serveur ou le client que tu configures ?

A table §

un client
 
pou l'instant, avec mon FW basique (= je refuse tout en entrée sauf les connexions relatives à ce qui sort), je fais du mode passif mais comme c'est plus sympa pour les serveurs de faire de l'actif, je suis en train de regarder comment il faut faire ça.
 
bon j'ai vérifié, en fait, le port 20 est un port source utilisé par le serveur distant pour se connecter chez moi sur un port aléatoire.

Enfin, la pluspart des serveurs sur le web sont en passif, enfin si je dit pas de conneries

ok avec ip_conntrack_ftp, ça fonctionne en mode actif ; merci
 
(ethereal c'est bien)

je suis pas sur d'avoir compris le sens de ta phrase. le mode, il se négocie à l'initiation de la connexion non ?

Ouais, c'est pour ça que c'est la merde à faire passer par un firewall le ftp. Certains firewall (PF, par exemple) utilisent un proxy pour le permettre.
 
edit : oups, grillé

ben a priori, iptables dispose d'une option pour ça (celle que  Airbat m'a fait charger)

 
oui, mais il faut que le serveur ftp en fasse soit configuré pour faire les deux, or sur les gros serveurs ftp du net j'en ai pas vu des masses conf pour fonctionner en actifs

Pourtant, ça devrait être de base vu que c'est censé prendre moins de ressources serveur que le mode passif

Il me semble que si le serveur est derriere un pare-feu, c'est plus pratique pour lui d'etre en passif.

je comprend plus rien ; je croyais qu'en actif, le serveur initiait une connexion sur le client depuis le port source 20 vers un port destination négocié et qu'en passif, le client initiait la connexion sur le serveur vers un port distant que ce dernier doit définir à la négociation et ouvrir ensuite.
 
Donc si mes croyances sont justes, c'est plutôt le mode actif qui est intéressant pour un serveur derrière un FW (il suffit d'ouvrir le 21 en entrée et le 20 en sortie) alors que le passif est plus difficile (il faut ouvrir en sortie un port > 1024 différent à chaque négociation).
 

non, dans un cas le port est aléatoire et négocié, dans l'autre il est fixe et égal à 20

 
d'accord, c'est ce que je viens de dire, peux tu préciser quel cas correspond au mode actif et quel cas correspond au mode passif ?

c'est là où je confond toujours
 
actif : c'est le serveur qui décide (il est actif donc)
passif, c'est négocié par le client, le serveur est passif donc (en fait à la base c'est pour permettre le transfert entre 2 serveurs)

http://www.google.fr/search?q=cach [...] ctif&hl=fr

donc c'est bien ce que je pensais et mon interrogation est toujours valide (ouf )

d'après la base du "jargon français" :
 

 
il faut rajouter qu'en passif le port client est négocié, effectivement c'est aussi valable pour le FXP (serveur/serveur)

qui était quoi déjà ?

d'après ce que j'ai lu, le passif a été fait justement pour le FXP (vu que les 2 serveurs peuvent pas tous les 2 passer par le port 20)

 
je me demandais pourquoi il serait plus pratique d'être en passif qu'en actif si le serveur FTP est derrière un FW.

justement c'est l'inverse, en passif faut activer le conntrack, donc c'est chiant
 
mais bon, du coup en passif tu n'as besoin d'ouvrir en permanence que le port 21

D'un autre côté, on ne voit beaucoup de serveurs ftp n'acceptants pas le mode passif. Cerait-ce pour faciliter la connection des clients qui sont derriere un fw ?
Quand j'avait essayé de filtrer les ports sortant, je ne pouvait me connecter qu'en actif  
 
A propos de FTP et FW :
http://openbsd.md5.com.ar/faq/pf/fr/ftp.html

pour moi, l'actif est plus facile à configuré au niveau du firewall ... mais ie ne gere pas l'actif je crois.
 
Le passif c'est relou au niveau du firewall
 
bon y a embrouillage et en plus c'est lh'eure de la sieste  
trop dur !

http://christian.caleca.free.fr/ftp/les_bases.htm
 
(ca servira à pas mal de monde )

c'est de là que viennent mes interrogations

Ha mairde alors !