Je me suis fait un serveur FTP avec Serv-U.
 
Pouvez-vous m'expliquer la différence entre le mode actif et le mode passif en termes de facilité d'utilisation et de sécurité.
 
Qu'est-ce qui est le plus utilisé ?
 
Vous avez des bons liens pour les nuls ? Et plus si affinités ?
 
Merci bien.  

faudrait que blueteen passe par là, il connait bien le sujet  

en mode port apparemment seul le port 21 est utilise pour les commandes et le port 20 pour les transferts, en mode passif, on utilise un port qui fait les 2, e port est alloué par le serveur ftp.
 
en ce qui concerne le mode port, je n arrive pas a comprendre si plusieurs utilisateurs peuvent s y connecter simultanement ?, j ai deja fait l essai et apparement un seul utilisateur peut communiquer avec le serveur, ou tout du moins c est chacun son tour, et pour les transferts de donnees chaque utilisateurs a un port different.
et le mode passif permettrait en fait de rester tout le temps connecter, car tous les utilisateurs auraient ubn port different.
 
j ai faux ?

passe ton ip, on va tester    
     

c plus complexe que ca.
 
le mode passif est utilisé en cas de regle de nat, d'apres ce que j'ai pu comprendre ( la j'ai encore des lacunes ) en mode passif, c'est le serveur qui initialise le transfert des données sur un port X et non le client kom en mode actif sur le port 20.
 
mais dans tout les cas ca devrait marcher pour plusieurs utilisateurs, y manquerai plus que ca que ca limite le nb de sessions ... m'enfin me trompe peut etre ... surement meme
 
 
 
PS : je viens de trouver ca vite fait sur google :
http://www.crans.ens-cachan.fr/vie/boci/ftppasv.html
 
Apparement, dans tout les cas la connection serait initialisé par le client ... zarb    
 
A vos RFC !

regle nat ou pas les deux passes.
seul pb en passif, c est qu il faut ouvrir les ports du mode passif sinon ca passe pas.
en actif y a pas de soucis car normalement c est toujours les memes ports.
mais en actif il est probbale que le port pour envoyer les donnees soient indique par le serveur.
mais pas les commandes.

Moi j'ai un pb avec ces modes je suis derrière un firewall (isa server 2000), dès que le server n'est pas sur le port 21, en ouvrant le dit port, la connexion passe mias les données ne sont pas listées du coup je passe en timeout et ce quel que soit le mode. Je me suis renseigné et il paraîtrait que ce la provienne du nat.

faut que tu ouvre le port 20 sur ton firewall

j'ai déjà ouvert le port 20 sur le firewall mais c'est pareil

pas besoin d ouvrir le port 20 normalement.
mais ca c es pour le mode actif.
si t es en mode passif il faut preciser a ton ftp une plage de port quil peut utiliser, et tu ouvres cette plage de port sur ton firewall et la ca fonctionnera, car en fait ton ftp dis a ton client de se connecter sur un autre port et ton firewall bloque evidemment la connexion.
 
sinon personne a de reponse concernant l interet du moe avtif et passif ?

+1
Avantages/défauts des 2modes

up ...

+1

Je vais peut etre dire une connere mais par experience, le Mode Actif s'utiliserai quand vous ne faites pas de "translation d'adresse" ou plutot lorsque vous n'etes pas filtré, en lan par exemple, ou entre 2 machines connectés directement au net en ip publiques fixes.
 
Si vous etes derriere un "firewall" qui filtre plus ou moins, il faudra surement passer en passive ...
 
Apres vous dire les details .... si j'ai 3 heures a perdre je me taperai la RFC

bein je suis derriere un routeur et je peux tres bien faire passer le mode actif ou le mode passif.

chez moi aussi , mais apparement on peux autoriser le passive au niveau du soft ...
 
puis au niveau routeur, si tu nat les ports 20 & 21, cela revient a avoir une ip publique ou presk
 
donc normal que les 2 fonctionnent
 
faudrait faire des tests de transferts ... ca devrait fonctionner mieux en actif, mais le % d'ecrat doit etre tres faible ( je pense a une encapsulation   )

je crois aps qu il y ai besoin de router le 20.
puis que le 21 c est les commandes et le 20 le transfert, c est le serveur qui emets des donnees sur le 20 donc pas besoin de le router.
 
le mode passif lui negocie une premeir fois l autorisation dela connexion sur le 21 puis s il accepte la connexion renegocie tout ca sur un autre port et sur ce port il y a le transfert et les commandes.

Dans les 2 modes, les ports de controle et de donnees sont 21 et 20. La connexion de controle est initialisee par le client:
Controle: Client port>1023 -> Serveur port21
 
MODE ACTIF:
Le client envoie au serveur sa propre adresse IP et un numero de port>1023. Le serveur communique donc avec la vraie adresse du client a partir du port20 et est a l'origine de la connexion donnees.
Ca fonctionne si le client n'est pas NATé. Le serveur peut etre NATé.
Donnees: Serveur port20 -> Client port>1023
 
MODE PASSIF:
Le serveur envoie au client sa propre adresse IP et un port>1023. Le client communique donc avec la vraie adresse du serveur et est a l'origine de la connexion donnees.
Ca fonctionne si le serveur n'est pas NATé. Le client peut etre NATé.
Donnees: Client port>1023 -> Serveur port>1023

pour le mode passif, certain serveur ftp te permettent de mettre l adresse ip public si ils sont derrieres un routeur + nat.
 
jene comprend pas l intret de communiquer directement avec la veritable adresse du serveur ou du client, a part le coup du nat, mais je comprends pas que cela soit pris en compte.

Par contre si le serveur ftp se trouve sur le port 5005 ou 1430, quand on est naté et derrière un firewall comment solutionner ce pb, on m'a effectivemnt dit que cela veniat du nat.

ca depend du mode apparemment.

 
Ouais, j'avais pas lu tout ton post.
 
MODE ACTIF:
Donnees: Serveur port20 -> Client port>1023  
Le serveur est a l'origine de la connexion vers le client. Cela represente une securite pour le serveur car il ne communique pas sa vraie adresse IP (s'il utilise du NAT), et il est possible de configurer son serveur pour qu'il refuse le mode passif (cf ci-dessous).
 
MODE PASSIF:
Donnees: Client port>1023 -> Serveur port>1023
Le client est a l'origine de la connexion vers le serveur. Cela represente une securite pour le client car il ne communique pas sa vraie adresse IP (s'il utilse du NAT), et aucun serveur ne se connecte sur le client (cf mode actif).
 
Donc en resume, si tu heberges des serveurs, il vaut mieux n'autoriser que le mode actif:
-serveur a l'origine de la connexion donnees (pas de connexion entrante)
-serveur ne communique pas sa vraie adresse IP (si NAT)
 
et si tu fais des clients:
-client a l'origine de la connexion donnees (pas de connexion entrante)
-client ne communique pas sa vraie adresse IP (si NAT)
 
Ca repond a la question ???

admettons qu on soit en passif.
et que le serveur soit derriere un routeur + nat.
 
le serveur va communiquer son adresse ip en local, ce qui est je pense completement inutil car le client pourra jamais se connecter a une adresse ip local sur l internet.
il lui faut forcement l adresse ip public du serveur qui apres est redirige en local avec du nat, c'est probablement pour cela que des serveurs type ser-u demande dans sa config a ce que l on indique son ip publique si l on est derriere un routeur firewall + nat.
apres si a ce moment la pour se connecter le client a forcement l ip du serveur tout du moins son ip public.
j'en comprends donc toujours pas la reel difference.
 
les deux modes ont donc l ip du serveur.
et le serveur sait toujours qui s y connecte.

 
C'est pour cela que dans mon 1er post, j'ai indiqué:
 
MODE PASSIF:  
...
Ca fonctionne si le serveur n'est pas NATé. Le client peut etre NATé.  
...
 
Et dans ce cas, le serveur est joignable via son adresse publique, que le client connait.
 
Et si le serveur est NATé, dans ce cas, il faut le mode actif.

c est pour ca que je precise que je suis naté que le mode passif ou actif passe tres bien.
seul l ip public doit etre indique dans le serveur.
 
donc quoi qu il arrive le client connait l adresse ip du serveur non ???

 
Je pense en effet que le fait d'indiquer au serveur FTP son adresse publique l'oblige a communiquer en mode passif son adresse publique, qui elle est joignable. Mais tu connais ton soft mieux que moi et a toi de savoir si c'est realisable.
 
Alors dans ce cas, il s'agit d'une implementation proprietaire de l'application. T'as quoi comme soft de serveur FTP? Ca m'interesse

bein je parle de serv-u.