# [ftp] demande conseille (resolu)

## alpha_one_x86

Bonjour, j'ai un probleme sur mon serveur, mais je souhaite le résoudre seul ce coup si. Et vu que je tourne en rond j'aimerai qu'on me donne des mot clef a chercher dans google pour m'aider.

Voila j'ai mon firewall (iptable) configurer comme ça:

```
# Generated by iptables-save v1.3.5 on Fri Jan  5 19:50:05 2007

*nat

:PREROUTING ACCEPT [388880:20236908]

:POSTROUTING ACCEPT [7289:647802]

:OUTPUT ACCEPT [7289:647802]

COMMIT

# Completed on Fri Jan  5 19:50:05 2007

# Generated by iptables-save v1.3.5 on Fri Jan  5 19:50:05 2007

*mangle

:PREROUTING ACCEPT [22293764:10476866358]

:INPUT ACCEPT [22293721:10476854678]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [30511519:32274835805]

:POSTROUTING ACCEPT [30514668:32275409166]

COMMIT

# Completed on Fri Jan  5 19:50:05 2007

# Generated by iptables-save v1.3.5 on Fri Jan  5 19:50:05 2007

*filter

:INPUT DROP [101103:5195280]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [5037350:5795993955]

-A INPUT -s 127.0.0.1 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 2106 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 7777 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 19150 -j ACCEPT

COMMIT

# Completed on Fri Jan  5 19:50:05 2007
```

Voici mon fichier de capture fait avec wireshark ou ethereal:

http://first-world.no-ip.info/fichier/ftp.cap

Et ça me fait ca avec tout les client et serveur ftp que j'ai sous la main (vsftpd, proftpd, client: mozilla, konqueror, fillezilla, xp, ...)

Par contre avec sftp://[monip]/ tout marche.

La le probleme c'est que des réquete sont filtre par le firewall sur un port aléatoire, et donc le listage du répertoire met + de 5min défois.

Sans le firewall tout est instantané.

Pour moi le ftp c'est que le port 21 donc mon firewall est bien regler, le fichier de config de vsftpd est ici:

http://first-world.no-ip.info/prob/vsftpd.conf

Merci de me donner les clef pour que je m'en sorte tout seul. (ou me dire que j'ai oublier un truc tout bete)Last edited by alpha_one_x86 on Fri Jan 05, 2007 8:33 pm; edited 3 times in total

----------

## Enlight

Le ftp c'est un tout petit peu plus complexe que les autres protocoles, donc pour tes mots clés, tout simplement iptables et ftp, t'es sur la bonne piste. D'ailleurs avant même de googler tu devrais regarder un peu la section documents astuces et scripts.

----------

## ultrabug

Salut, bien que ta question ne soit pas claire à mon sens, je pense que ton problème vient du mode passif (PASV).

Il y a un module iptables qui gère ca tout seul mais tu as besoin de l'avoir activé dans ton noyau.

Bon courage

----------

## kernelsensei

Je précise que si tu cryptes ton FTP (ftps) le module kernel pour traquer les connexions ftp (savoir quel port ouvrir dynamiquement) ne marchera pas. Du moins ca ne marchait pas la dernière fois que j'ai essayé, c'est surement parce que les numéros de port sont eux aussi communiqués par le flux crypté et qu'iptables (le kernel) ne peut donc pas les choper au vol !

----------

## xaviermiller

sftp, c'est pas du ssh ?

----------

## -KuRGaN-

sftp c'est différent de ftps   :Wink: 

----------

## grosnours

 *XavierMiller wrote:*   

> sftp, c'est pas du ssh ?

 

Si.

alpha: il y a une option à ton ftpd pour que les ports ne soient pas si aléatoires que ça.

----------

## Temet

Dites, pour le ftp, faut ouvrir le port 20 aussi non ??? o_O'

----------

## alpha_one_x86

Moi aussi j'ai vu ça, le port 20 appairait dans la config de vsftpd. sftp et ftps c'est différent, encore un truc a chercher... J'ai pas trop compris ce qu'on ma dit a par que je devait chercher autour du kernel....

ftps non supporter par konqueror, et sftp non supporter par windows.

EDIT: voila je suis sous vsftp, et je sais maintenant le faire avec proftp, en definisant le range de port en passif de mon ftp. Et je fait comment sous vsftpd?Last edited by alpha_one_x86 on Fri Jan 05, 2007 3:37 pm; edited 1 time in total

----------

## Poch

 *Temet wrote:*   

> Dites, pour le ftp, faut ouvrir le port 20 aussi non ??? o_O'

 

+1

Si je me rappelle bien, le port 20 c'est pour les données de contrôle, et le 21 pour les données transférées proprement dites...

----------

## kernelsensei

 *alpha_one_x86 wrote:*   

> EDIT: voila je suis sous vsftp, et je sais maintenant le faire avec proftp, en definisant le range de port en passif de mon ftp. Et je fait comment sous vsftpd?

 

Selon la manpage ici tu peux spécifier pasv_max_port et pasv_min_port, avec ça tu peux donner une fourchette !

----------

## OuinPis

Le port 21 c'est pour les commandes envoyés au serveur.

Le port 20 c'est pour le transfert de donnée.

----------

## Scullder

 *ultrabug wrote:*   

> Salut, bien que ta question ne soit pas claire à mon sens, je pense que ton problème vient du mode passif (PASV).
> 
> Il y a un module iptables qui gère ca tout seul mais tu as besoin de l'avoir activé dans ton noyau.
> 
> Bon courage

 

ip_conntrack_ftp =)

----------

## loopx

Le port 20 est pas toujours utilisé. Après la connexion, l'ouverture du port de donnée se fait généralement sur un port >1024 (des deux coté) donc jte dis pas les progz qui analyse le traffic via les ports, ils comprennent plus rien  :Wink: 

Généralement, tu utilises le ftp passif (le actif => le serveur se connecte chez toi pour le port de donnée, or si tu es derrière du nat il arrivera jamais à se connecter) via le net. Ainsi, toi, le client, tu ouvres les 2 ports vers le serveur (nat ou pas nat, ca fonctionne sauf si le serveur est mal configuré).

L'ouverture du port de donnée (en passif) => le ftp te donne le port à ouvrir (qui est généralement >1024) et de ton coté, le port source est aussi >1024 ...

Chouette hein  :Smile: 

----------

## alpha_one_x86

J'ai toujour cru que seul le port 21 ete utiliser... bon la tout marche.

----------

## alpha_one_x86

kernelsensei a tu trouver le man page?

----------

## geekounet

résolu ça ne prend pas de t !! >_<

----------

## truz

[OFF]

 *geekounet wrote:*   

> résolu ça ne prend pas de t !! >_<

 et pour ceux qui ont toujours un peu de mal avec la conjugaison (et j'en fais partie), n'oubliez pas ce merveilleux site (à la rubrique participe passé pour ce qui nous intéresse ici, hein  :Wink:  ), il peut même être intégré dans les moteurs de Firefox ! Plus d'excuses   :Wink: 

[/OFF]

----------

## Temet

Si, il en a une, il est disorthographique, comme le dit sa signature.

Il ne peut pas chercher chaque mot dans un dico, surtout qu'il se retrompera plus tard.

Donc un peu d'indulgence, au moins sur ce coté là  :Wink: 

----------

## truz

 *Temet wrote:*   

> Si, il en a une, il est disorthographique, comme le dit sa signature.
> 
> Il ne peut pas chercher chaque mot dans un dico, surtout qu'il se retrompera plus tard.
> 
> Donc un peu d'indulgence, au moins sur ce coté là 

 Yep, j'avais zappé, désolé alpha_one_x86   :Embarassed: 

Enfin ça peut toujours servir aux autres forumeurs  :Wink: 

----------

## ghoti

 *Temet wrote:*   

> Si, il en a une, il est disorthographique, comme le dit sa signature.

 

Heu : disorthographique ou dysorthographique ? Ou peut-être les deux ? La flemme de chercher puisque ça ne branche pas grand monde  :Sad: 

 *alpha_one_x86 wrote:*   

> kernelsensei a tu trouver le man page?

 

Bon, alpha, applique-toi à lire un tantinet les réponses   :Evil or Very Mad:   C'est si dur que ça ? :

 *kernelsensei wrote:*   

> Selon la manpage ici tu peux spécifier pasv_max_port et pasv_min_port, avec ça tu peux donner une fourchette !

 

----------

## alpha_one_x86

J'ai lu et j'ai compris le man page, mais je sais toujours pas d'ou tu le sort. De google ou de man /etc/vsftpd/vsftpd.conf ?

----------

## Enlight

Les deux, la plupart des manpages sont diponibles sur le net, après il faut faire attention, elles ne sont pas forcément à jour. Mais dans ce cas précis, comme ça vient du site même du programme, c'est probablement une version à jour.

----------

## kernelsensei

 *alpha_one_x86 wrote:*   

> J'ai lu et j'ai compris le man page, mais je sais toujours pas d'ou tu le sort. De google ou de man /etc/vsftpd/vsftpd.conf ?

 

Dans google j'ai tapé vsftpd+port+range et paf, c'était la 1ere réponse...

----------

## alpha_one_x86

Il faut deja savoir que le ftp n'utilise pas que le port 21. Moi j'ai chercher vsftpd port, vsftpd error 430, vsftpd iptables, vsftpd firewall.

----------

## guilc

 *alpha_one_x86 wrote:*   

> Il faut deja savoir que le ftp n'utilise pas que le port 21. Moi j'ai chercher vsftpd port, vsftpd error 430, vsftpd iptables, vsftpd firewall.

 

"ftp iptables" sur google : http://www.google.fr/search?hl=fr&ie=UTF-8&oe=UTF-8&q=ftp+iptables&btnG=Rechercher&meta=

Deuxième résultat : http://www.linux-nantes.org/spip.php?article80 ... Ça résume a peu près tout.

C'est vrai que c'est vachement dur d'utiliser google...  :Rolling Eyes: 

----------

## ghoti

 *kernelsensei wrote:*   

> Dans google j'ai tapé vsftpd+port+range et paf, c'était la 1ere réponse...

 

Franchement, tu te compliques la vie !  :Laughing: 

vsftpd+manpage et là aussi c'est le premier lien !  :Laughing: 

----------

## loopx

lol, le topic va changer de nom bientot   :Laughing: 

----------

