Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
4130 connectés 

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

pureftpd et firewall

n°330701
jotenakis
Posté le 25-09-2003 à 22:14:13  profilanswer
 

J'ai installé pureftpd en lieu et place de proftpd car apparemment pure est plus secure.
 
Je lance pureftpd comme ceci :  

/usr/local/sbin/pure-ftpd -A -E -b -B -c 5 -C 5 -H -k 95% -r -s -w -l puredb:/etc/pureftpd.pdb


Comme ceci et en ouvrant le proto ftp de mon firewall (que je gère avec guarddog) cela marche impec.
 
Maitenant si je lance comme ça :  

/usr/local/sbin/pure-ftpd -A -E -b -B -c 5 -C 5 -H -k 95% -r -s -w -S 10642 -l puredb:/etc/pureftpd.pdb


pour avoir un ftp sur port 10642 plutôt que 21, et que j'ouvre le port 10642 avec guarddog alors là ça ne marche plus. J'arrive à me connecter mais au moment du "list" ça déconnecte toujours.
 
Les modules  


ip_nat_ftp              4016   0  (unused)
iptable_nat            21016   1  [ip_nat_ftp]
ipt_state               1080  68  (autoclean)
ipt_REJECT              3768   4  (autoclean)
ipt_limit               1560   4  (autoclean)
ipt_LOG                 4280   4  (autoclean)
ip_conntrack_ftp        5200   1
ip_conntrack           27432   3  [ip_nat_ftp iptable_nat ipt_state ip_conntrack_ftp]
iptable_filter          2348   1  (autoclean)
ip_tables              14648   8  [iptable_nat ipt_state ipt_REJECT ipt_limit ipt_LOG iptable_filter]


sont chargés.
 
C'est où que j'ai faux ? Comment donc faire pour mettre un ftp sur un port autre que 21 ?
 
Merci de vos réponses.


Message édité par jotenakis le 25-09-2003 à 22:16:35

---------------
Jotenakis
mood
Publicité
Posté le 25-09-2003 à 22:14:13  profilanswer
 

n°330704
Kermit
Posté le 25-09-2003 à 22:20:37  profilanswer
 

Il me smeble qu'il faut preciser le numero des ports sur lesquels y a du ftp au moment de charger ip_conntrack_ftp.
 
dans le style modprobe ip_conntrack_ftp 10642

n°330711
jotenakis
Posté le 25-09-2003 à 22:41:13  profilanswer
 

marche pas non plus malheureusement...


---------------
Jotenakis
n°330719
axey
http://www.00f.net
Posté le 25-09-2003 à 22:54:34  profilanswer
 

Pourrais-tu préciser la situation exacte des services et machines ?
 
Est-ce-que c'est quelque chose comme ça :
 
(client FTP)---(firewall)---(internet)---(serveur FTP)
 
?
 
ou bien le firewall est plutôt avant le serveur ? Ou les deux sont sur le même réseau ?
 
Qu'est-ce-qui est NATé ? Le client ? Le serveur ?
 

n°330722
jotenakis
Posté le 25-09-2003 à 23:00:06  profilanswer
 

(client FTP)---(firewall de mon UNIVERSITE)---(internet)---(firewall perso)---(serveur FTP perso)  
 
Ma machine perso@home est seule et connectée via une ligne adsl.


Message édité par jotenakis le 25-09-2003 à 23:03:32

---------------
Jotenakis
n°330731
mikala
Souviens toi du 5 Novembre...
Posté le 25-09-2003 à 23:20:25  profilanswer
 

il ne faudrait pas ajouter le port 10641 pour le data-ftp ?

n°330738
Sagittariu​s
Posté le 25-09-2003 à 23:42:01  profilanswer
 

Citation :

How does FTP effect Firewall Rules?
 
 
For firewalls, the trouble with FTP starts as the file is transmitted. One would assume that the server will send the file from its port 21 to the remote port from which the client connects, similar to the way web pages are sent by the web server. One would assume wrong.  
 
 
Instead, the FTP server will establish a secondary TCP connection. The server will use its port 20 (ftp-data) to connect to the client. According to the specs, the same data connection should be reused for consecutive transfers. However, clients usually pick new ports at random for each connection. This is a work around to avoid a problem many TCP stacks have in closing ports in a timely fashion.  
 
 
For the firewall, the problem is that data connection appear as incoming connections. "Good" firewalls are set up to reject these connections.  
 
 
Luckily, people that write FTP clients and servers thought about this. The scenario above is usually refered to as "active FTP". The firewall friendly version is usually refered to as "passive FTP". (PASV) In passive mode, the server will open a second port and inform the client of the port number. The client will now establish a second outgoing connection to retreive data from this port.  
 
 
Now, this is not everything there is to know about FTP. There are a couple other "quirks". Many server are using multiple IP addresses. As a result, the data connection may appear to originate from a different IP address than the control connection. (Which means fighting with your firewall again.)  


 
http://www.dshield.org/ports/port21.php
Je ne sais pas si cela peut t'aider.


Message édité par Sagittarius le 25-09-2003 à 23:44:30
n°330853
axey
http://www.00f.net
Posté le 26-09-2003 à 12:05:16  profilanswer
 

jotenakis a écrit :

(client FTP)---(firewall de mon UNIVERSITE)---(internet)---(firewall perso)---(serveur FTP perso)  
 
Ma machine perso@home est seule et connectée via une ligne adsl.


 
Si le firewall de ta fac n'est pas spécialement configuré pour accepter le protocole FTP sur un autre port que le 21, c'est mort.

n°330871
[Madko]
complètement linuxé!!!
Posté le 26-09-2003 à 12:29:22  profilanswer
 

lsof -i pour verifier quil tourne bien sur le port que tu lui indique
tente en local de ty connecter
et apres tente de l'exterieur
tout ça pour cibler ou est vraiment le probleme

n°330932
jotenakis
Posté le 26-09-2003 à 14:47:12  profilanswer
 

axey a écrit :


 
Si le firewall de ta fac n'est pas spécialement configuré pour accepter le protocole FTP sur un autre port que le 21, c'est mort.


OK ce doit être ça... :sweat:


Message édité par jotenakis le 26-09-2003 à 14:47:33

---------------
Jotenakis
mood
Publicité
Posté le 26-09-2003 à 14:47:12  profilanswer
 

n°330935
[Madko]
complètement linuxé!!!
Posté le 26-09-2003 à 14:48:55  profilanswer
 

alors met le sur le port 21 :)

n°330953
jotenakis
Posté le 26-09-2003 à 15:14:08  profilanswer
 

bah c'est ce que je fais pour le moment.
 
MAIS après vérification il s'avère que lorsque je desactive totalement MON firewall, mon ftp marche. C'est donc un pb du à MON firewall !


---------------
Jotenakis
n°331024
Sagittariu​s
Posté le 26-09-2003 à 17:09:10  profilanswer
 

As-tu ouvert un seul port ou plusieurs en remplacement du port habituel, car sauf erreur ftp fonctionne ainsi :  
 
ftp-data         20/tcp    File Transfer [Default Data]
ftp-data         20/udp    File Transfer [Default Data]
ftp              21/tcp    File Transfer [Control]
ftp              21/udp    File Transfer [Control]
 
Peut-être qu'avec Guarddog, faut-il forcer l'ouverture de 20/tcp et 20/udp ?

n°331029
[Madko]
complètement linuxé!!!
Posté le 26-09-2003 à 17:24:26  profilanswer
 

ou alors tajoute une regle state genre -m state --state ESTABLISHED,RELATED -j accept a la fin de ton input
comme ça tout ce qui sera en rapport avec le port ouvert de ton ftp sera accepté. parceque non seulement ya le port de donnée et de commande, mais ya aussi des ports elevés pour le transfert

n°331090
axey
http://www.00f.net
Posté le 26-09-2003 à 20:27:57  profilanswer
 

Non inutile d'ouvrir le port 20, aucun client ne se connectera dessus. C'est un port source, pas destination.
 
Il faut ouvrir le port 21 et tous les ports > 1023.

n°331091
axey
http://www.00f.net
Posté le 26-09-2003 à 20:28:23  profilanswer
 

Et en TCP ça suffit, pas d'UDP.

n°331103
mikala
Souviens toi du 5 Novembre...
Posté le 26-09-2003 à 21:12:57  profilanswer
 

axey a écrit :

Non inutile d'ouvrir le port 20, aucun client ne se connectera dessus. C'est un port source, pas destination.
 
Il faut ouvrir le port 21 et tous les ports > 1023.


dans le cadre d'une connexion en mode actif , le port 20 de doit pas etre ouvert ?


Aller à :
Ajouter une réponse
 

Sujets relatifs
Snort et firewallMandrake 9.1 et firewall T_T
Problème de conf pureFTPdgestion de 2000 firewall linux par un offshore
proxy squid derriere un firewall ...demande d'explication réseau/firewall
Distrib linux pour sécurité ? et quel firewall ?[Encore un NB] Reglage de firewall, client / serveur ftp @ MNF
[MNF] Config routeur / firewall ISDNfirewall mandrake 9.1
Plus de sujets relatifs à : pureftpd et firewall

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.064 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)