View previous topic :: View next topic |
Author |
Message |
alpha_one_x86 Guru
Joined: 29 Oct 2006 Posts: 544
|
Posted: Fri Jan 05, 2007 11:58 am Post subject: [ftp] demande conseille (resolu) |
|
|
Bonjour, j'ai un probleme sur mon serveur, mais je souhaite le résoudre seul ce coup si. Et vu que je tourne en rond j'aimerai qu'on me donne des mot clef a chercher dans google pour m'aider.
Voila j'ai mon firewall (iptable) configurer comme ça:
Code: | # Generated by iptables-save v1.3.5 on Fri Jan 5 19:50:05 2007
*nat
:PREROUTING ACCEPT [388880:20236908]
:POSTROUTING ACCEPT [7289:647802]
:OUTPUT ACCEPT [7289:647802]
COMMIT
# Completed on Fri Jan 5 19:50:05 2007
# Generated by iptables-save v1.3.5 on Fri Jan 5 19:50:05 2007
*mangle
:PREROUTING ACCEPT [22293764:10476866358]
:INPUT ACCEPT [22293721:10476854678]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [30511519:32274835805]
:POSTROUTING ACCEPT [30514668:32275409166]
COMMIT
# Completed on Fri Jan 5 19:50:05 2007
# Generated by iptables-save v1.3.5 on Fri Jan 5 19:50:05 2007
*filter
:INPUT DROP [101103:5195280]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [5037350:5795993955]
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2106 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 7777 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 19150 -j ACCEPT
COMMIT
# Completed on Fri Jan 5 19:50:05 2007 |
Voici mon fichier de capture fait avec wireshark ou ethereal:
http://first-world.no-ip.info/fichier/ftp.cap
Et ça me fait ca avec tout les client et serveur ftp que j'ai sous la main (vsftpd, proftpd, client: mozilla, konqueror, fillezilla, xp, ...)
Par contre avec sftp://[monip]/ tout marche.
La le probleme c'est que des réquete sont filtre par le firewall sur un port aléatoire, et donc le listage du répertoire met + de 5min défois.
Sans le firewall tout est instantané.
Pour moi le ftp c'est que le port 21 donc mon firewall est bien regler, le fichier de config de vsftpd est ici:
http://first-world.no-ip.info/prob/vsftpd.conf
Merci de me donner les clef pour que je m'en sorte tout seul. (ou me dire que j'ai oublier un truc tout bete)
Last edited by alpha_one_x86 on Fri Jan 05, 2007 8:33 pm; edited 3 times in total |
|
Back to top |
|
|
Enlight Advocate
Joined: 28 Oct 2004 Posts: 3519 Location: Alsace (France)
|
Posted: Fri Jan 05, 2007 12:49 pm Post subject: |
|
|
Le ftp c'est un tout petit peu plus complexe que les autres protocoles, donc pour tes mots clés, tout simplement iptables et ftp, t'es sur la bonne piste. D'ailleurs avant même de googler tu devrais regarder un peu la section documents astuces et scripts. |
|
Back to top |
|
|
ultrabug Developer
Joined: 24 Jan 2005 Posts: 698 Location: Paris
|
Posted: Fri Jan 05, 2007 12:49 pm Post subject: |
|
|
Salut, bien que ta question ne soit pas claire à mon sens, je pense que ton problème vient du mode passif (PASV).
Il y a un module iptables qui gère ca tout seul mais tu as besoin de l'avoir activé dans ton noyau.
Bon courage |
|
Back to top |
|
|
kernelsensei Bodhisattva
Joined: 22 Feb 2004 Posts: 5619 Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
Posted: Fri Jan 05, 2007 12:59 pm Post subject: |
|
|
Je précise que si tu cryptes ton FTP (ftps) le module kernel pour traquer les connexions ftp (savoir quel port ouvrir dynamiquement) ne marchera pas. Du moins ca ne marchait pas la dernière fois que j'ai essayé, c'est surement parce que les numéros de port sont eux aussi communiqués par le flux crypté et qu'iptables (le kernel) ne peut donc pas les choper au vol ! _________________ $ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
Back to top |
|
|
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8717 Location: ~Brussels - Belgique
|
Posted: Fri Jan 05, 2007 1:27 pm Post subject: |
|
|
sftp, c'est pas du ssh ? _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
-KuRGaN- Veteran
Joined: 05 Dec 2004 Posts: 1142 Location: Besançon (25) [FRANCE]
|
Posted: Fri Jan 05, 2007 1:28 pm Post subject: |
|
|
sftp c'est différent de ftps _________________ Knight Gent00 Industries RiDeR !!!! |
|
Back to top |
|
|
grosnours Apprentice
Joined: 05 Jun 2006 Posts: 210 Location: Belgium
|
Posted: Fri Jan 05, 2007 2:38 pm Post subject: |
|
|
XavierMiller wrote: | sftp, c'est pas du ssh ? |
Si.
alpha: il y a une option à ton ftpd pour que les ports ne soient pas si aléatoires que ça. _________________ grosnours |
|
Back to top |
|
|
Temet Advocate
Joined: 14 Mar 2006 Posts: 2586 Location: 92
|
Posted: Fri Jan 05, 2007 2:41 pm Post subject: |
|
|
Dites, pour le ftp, faut ouvrir le port 20 aussi non ??? o_O' |
|
Back to top |
|
|
alpha_one_x86 Guru
Joined: 29 Oct 2006 Posts: 544
|
Posted: Fri Jan 05, 2007 3:12 pm Post subject: |
|
|
Moi aussi j'ai vu ça, le port 20 appairait dans la config de vsftpd. sftp et ftps c'est différent, encore un truc a chercher... J'ai pas trop compris ce qu'on ma dit a par que je devait chercher autour du kernel....
ftps non supporter par konqueror, et sftp non supporter par windows.
EDIT: voila je suis sous vsftp, et je sais maintenant le faire avec proftp, en definisant le range de port en passif de mon ftp. Et je fait comment sous vsftpd?
Last edited by alpha_one_x86 on Fri Jan 05, 2007 3:37 pm; edited 1 time in total |
|
Back to top |
|
|
Poch Tux's lil' helper
Joined: 09 Jun 2006 Posts: 105 Location: Namur, Belgique
|
Posted: Fri Jan 05, 2007 3:36 pm Post subject: |
|
|
Temet wrote: | Dites, pour le ftp, faut ouvrir le port 20 aussi non ??? o_O' |
+1
Si je me rappelle bien, le port 20 c'est pour les données de contrôle, et le 21 pour les données transférées proprement dites... _________________ Microsoft is not the answer. Microsoft is the question. NO, is the answer. |
|
Back to top |
|
|
kernelsensei Bodhisattva
Joined: 22 Feb 2004 Posts: 5619 Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
Posted: Fri Jan 05, 2007 4:30 pm Post subject: |
|
|
alpha_one_x86 wrote: | EDIT: voila je suis sous vsftp, et je sais maintenant le faire avec proftp, en definisant le range de port en passif de mon ftp. Et je fait comment sous vsftpd? |
Selon la manpage ici tu peux spécifier pasv_max_port et pasv_min_port, avec ça tu peux donner une fourchette ! _________________ $ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
Back to top |
|
|
OuinPis Tux's lil' helper
Joined: 05 Jun 2006 Posts: 133 Location: a coté de Paris
|
Posted: Fri Jan 05, 2007 4:43 pm Post subject: |
|
|
Le port 21 c'est pour les commandes envoyés au serveur.
Le port 20 c'est pour le transfert de donnée. _________________ Intel Core2 Duo 6400 @ 2.13GHz - 2Go DDRII 533
2.6.18-gentoo-r2 - gcc 4.1.1 - xorg 7.1 - KDE 3.5.5 |
|
Back to top |
|
|
Scullder Guru
Joined: 16 Mar 2006 Posts: 466 Location: France
|
Posted: Fri Jan 05, 2007 4:51 pm Post subject: |
|
|
ultrabug wrote: | Salut, bien que ta question ne soit pas claire à mon sens, je pense que ton problème vient du mode passif (PASV).
Il y a un module iptables qui gère ca tout seul mais tu as besoin de l'avoir activé dans ton noyau.
Bon courage |
ip_conntrack_ftp =) _________________ Linux gentoo 2.6.18-ck1-r2 #1 PREEMPT Fri Nov 17 01:37:56 CET 2006 x86_64 AMD Athlon(tm) 64 Processor 3000+ AuthenticAMD GNU/Linux |
|
Back to top |
|
|
loopx Advocate
Joined: 01 Apr 2005 Posts: 2787 Location: Belgium / Liège
|
Posted: Fri Jan 05, 2007 6:26 pm Post subject: |
|
|
Le port 20 est pas toujours utilisé. Après la connexion, l'ouverture du port de donnée se fait généralement sur un port >1024 (des deux coté) donc jte dis pas les progz qui analyse le traffic via les ports, ils comprennent plus rien
Généralement, tu utilises le ftp passif (le actif => le serveur se connecte chez toi pour le port de donnée, or si tu es derrière du nat il arrivera jamais à se connecter) via le net. Ainsi, toi, le client, tu ouvres les 2 ports vers le serveur (nat ou pas nat, ca fonctionne sauf si le serveur est mal configuré).
L'ouverture du port de donnée (en passif) => le ftp te donne le port à ouvrir (qui est généralement >1024) et de ton coté, le port source est aussi >1024 ...
Chouette hein _________________ Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
Back to top |
|
|
alpha_one_x86 Guru
Joined: 29 Oct 2006 Posts: 544
|
Posted: Fri Jan 05, 2007 7:14 pm Post subject: |
|
|
J'ai toujour cru que seul le port 21 ete utiliser... bon la tout marche. |
|
Back to top |
|
|
alpha_one_x86 Guru
Joined: 29 Oct 2006 Posts: 544
|
Posted: Fri Jan 05, 2007 7:38 pm Post subject: |
|
|
kernelsensei a tu trouver le man page? |
|
Back to top |
|
|
geekounet Bodhisattva
Joined: 11 Oct 2004 Posts: 3772
|
Posted: Fri Jan 05, 2007 7:48 pm Post subject: |
|
|
résolu ça ne prend pas de t !! >_< |
|
Back to top |
|
|
truz Apprentice
Joined: 26 Feb 2005 Posts: 293 Location: France - Paris
|
Posted: Fri Jan 05, 2007 9:12 pm Post subject: |
|
|
[OFF]
geekounet wrote: | résolu ça ne prend pas de t !! >_< | et pour ceux qui ont toujours un peu de mal avec la conjugaison (et j'en fais partie), n'oubliez pas ce merveilleux site (à la rubrique participe passé pour ce qui nous intéresse ici, hein ), il peut même être intégré dans les moteurs de Firefox ! Plus d'excuses
[/OFF] _________________ Je sais que mes droits s'arrêtent là où commencent ceux des autres. Mais est-ce ma faute si les droits des autres commencent si loin ? [Quino] -- Mafalda |
|
Back to top |
|
|
Temet Advocate
Joined: 14 Mar 2006 Posts: 2586 Location: 92
|
Posted: Fri Jan 05, 2007 9:57 pm Post subject: |
|
|
Si, il en a une, il est disorthographique, comme le dit sa signature.
Il ne peut pas chercher chaque mot dans un dico, surtout qu'il se retrompera plus tard.
Donc un peu d'indulgence, au moins sur ce coté là |
|
Back to top |
|
|
truz Apprentice
Joined: 26 Feb 2005 Posts: 293 Location: France - Paris
|
Posted: Fri Jan 05, 2007 10:24 pm Post subject: |
|
|
Temet wrote: | Si, il en a une, il est disorthographique, comme le dit sa signature.
Il ne peut pas chercher chaque mot dans un dico, surtout qu'il se retrompera plus tard.
Donc un peu d'indulgence, au moins sur ce coté là | Yep, j'avais zappé, désolé alpha_one_x86
Enfin ça peut toujours servir aux autres forumeurs _________________ Je sais que mes droits s'arrêtent là où commencent ceux des autres. Mais est-ce ma faute si les droits des autres commencent si loin ? [Quino] -- Mafalda |
|
Back to top |
|
|
ghoti Advocate
Joined: 30 Dec 2002 Posts: 3634 Location: Belgium
|
Posted: Fri Jan 05, 2007 11:50 pm Post subject: |
|
|
Temet wrote: | Si, il en a une, il est disorthographique, comme le dit sa signature. |
Heu : disorthographique ou dysorthographique ? Ou peut-être les deux ? La flemme de chercher puisque ça ne branche pas grand monde
alpha_one_x86 wrote: | kernelsensei a tu trouver le man page? |
Bon, alpha, applique-toi à lire un tantinet les réponses C'est si dur que ça ? :
kernelsensei wrote: | Selon la manpage ici tu peux spécifier pasv_max_port et pasv_min_port, avec ça tu peux donner une fourchette ! |
|
|
Back to top |
|
|
alpha_one_x86 Guru
Joined: 29 Oct 2006 Posts: 544
|
Posted: Sat Jan 06, 2007 12:11 pm Post subject: |
|
|
J'ai lu et j'ai compris le man page, mais je sais toujours pas d'ou tu le sort. De google ou de man /etc/vsftpd/vsftpd.conf ? |
|
Back to top |
|
|
Enlight Advocate
Joined: 28 Oct 2004 Posts: 3519 Location: Alsace (France)
|
Posted: Sat Jan 06, 2007 12:23 pm Post subject: |
|
|
Les deux, la plupart des manpages sont diponibles sur le net, après il faut faire attention, elles ne sont pas forcément à jour. Mais dans ce cas précis, comme ça vient du site même du programme, c'est probablement une version à jour. |
|
Back to top |
|
|
kernelsensei Bodhisattva
Joined: 22 Feb 2004 Posts: 5619 Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
Posted: Sat Jan 06, 2007 3:51 pm Post subject: |
|
|
alpha_one_x86 wrote: | J'ai lu et j'ai compris le man page, mais je sais toujours pas d'ou tu le sort. De google ou de man /etc/vsftpd/vsftpd.conf ? |
Dans google j'ai tapé vsftpd+port+range et paf, c'était la 1ere réponse... _________________ $ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
Back to top |
|
|
alpha_one_x86 Guru
Joined: 29 Oct 2006 Posts: 544
|
Posted: Sat Jan 06, 2007 10:31 pm Post subject: |
|
|
Il faut deja savoir que le ftp n'utilise pas que le port 21. Moi j'ai chercher vsftpd port, vsftpd error 430, vsftpd iptables, vsftpd firewall. |
|
Back to top |
|
|
|