J'ai un serveur FTP derrière un routeur NAT / firewall.
 
J'ai mis le serveur en IP multi-home avec son IP interne et l'IP externe, j'ai forwardé les ports 20 et 21 sur le serveur pour la connexion.
 
Maintenant il faut autoriser un certains nombre de ports au dessus de 1023 pour que les transferts de fichiers et le listage des rep s'effectuent, le tout en mode passif. Le problème c'est que ça reste vague, j'ai lu une doc où ils disaient qu'il fallait tout ouvrir au dessus de 1023 mais bonjour la sécurité. Pour le moment ça marche en n'ouvrant qu'entre 2048 et 4096 mais j'aimerai réduire et je ne sais pas dans quelle proportion. Et est-ce qu'on peut dire qu'un client = 1 socket = 1 port même si une même IP peut être connecté n fois?

si tu commences à ouvrir des ports de partout, ton firewall ne sert plus à rien

Je vois mal en quoi ne pas filtrer un port représente un danger, à partir du moment où aucun serveur n'écoute derrière.

SirJeannot > Je suis d'accord et justement je cherche à minimiser les ouvertures...
 
Matafan > Justement, dans un LAN, tu fais comment pour savoir quelles machines ont quels ports d'ouverts? Tu les scannes toutes   ?

Je suis en train de vérifier,
mais si tu est en passif, tu n'as pas besoin d'ouvrir d'autre port que le 20.

Merci warp   ...
 
Je suis pas tout à fait d'accord pour le passif et seulement le 20 mais je maitrise pas bien. Je sais seulement qu'il faut bien paramétrer le multi-home en cas de LAN derrière NAT pour avoir le passif et que sans, avec tous les ports d'ouverts que tu veux, y'a rien qui passe après un login...

Sorry, j'ai mis 20 à la place de 21....
 
en fait la différence entre le mode passif et le mode actif,
c'est que (mais je ne me souviens plus lequel est lequel)
dans un des 2 modes, le client se connecte le port 21 chez le serveur, et pour le transfert, le serveur se connecte chez le client.
Dans l'autre mode, c'est aussi le client qui se connecte sur le port 21 du serveur, mais pour le transfert, c'est aussi lui qui se connecte chez le serveur.
 
Mais je sais plus trop comment ça marche.
On dit souvent qu'on beau dessin vaut mieux qu'un long discours, mais je ne le retrouve plus mon beau dessin.

D'après ce que j'avais cru comprendre, les clients se connectaient juste sur le 21 pour se logger, le serveur répondait sur le 20 pour valider la connexion et après un port dynamique était ouvert pour le listage des rep et le transfert en lui même...