Aller au contenu

Serveur Ftp : Je Ne Comprend Plus Rien ....


Kramlech

Messages recommandés

Bonjour

Je butte sur un problème dont la solution doit être d'une évidence telle que je ne la vois pas ...

J'ai activé le serveur FTP, en laissant toutes les options par défaut (entre autre utilisation du port 21).

J'ai bien redirigé ce port sur ma freebox.

J’utilise Fillezilla, en laissant aussi le maximum d'options par défaut, en particulier le mode de transfert (par défaut).

Et bien ... ça fonctionne très bien depuis l'extérieur. Comme je n'avais pas ouvert les port 55536 à 55539, j'ai déduis que les transferts se font en mode actif (mais je ne pense pas que cela ait un rapport avec la suite) ....

Alors, voila le problème :

J'avais de nombreuse tentative de connexion via ce port 21.

J'ai donc décidé de changer le port utilisé par le FTP.

J'ai donc changé dans le panneau de configuration FTP du Syno le port 21 par le port 12345.

J'ai changé la redirection au niveau du routeur (j'ai remplacé 21 -> 21 par 12345 -> 12345).

J'ai changé le numéro de port à utiliser dans Fillezilla.

Et depuis .... ben ça ne marche plus !!!!

Statut : Résolution de l'adresse de xxxxx.fr

Statut : Connexion à xxx.xxx.xxx.xxx:12345...

Statut : Connexion établie, attente du message d'accueil...

Réponse : 220 DiskStation FTP server ready.

Commande : USER toto

Réponse : 331 Password required for toto.

Commande : PASS *******

Réponse : 230 User toto logged in.

Commande : OPTS UTF8 ON

Réponse : 200 OK, UTF-8 enabled

Statut : Connecté

Statut : Récupération du contenu du dossier...

Commande : PWD

Réponse : 257 "/" is current directory.

Commande : TYPE I

Réponse : 200 Type set to I.

Commande : PASV

Réponse : 227 Entering Passive Mode (192,168,0,120,216,242)

Statut : Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.

Commande : LIST

Erreur : Délai d'attente expiré

Erreur : Impossible de récupérer le contenu du dossier

La connexion se fait bien. Donc tout devrait être OK

Mais la commande LIST échoue.

Je précise en outre qu'en interne, avec exactement les même paramètre dans Fillezilla, tout fonctionne correctement.

Alors, elle est où, l'explication ?

Modifié par Kramlech
Lien vers le commentaire
Partager sur d’autres sites

Je n'ai pas indiqué tous les tests que j'ai pu faire dans tous les sens (forcer actif, forcer passif, etc....).

Cocher la case "Renvoyer l'ip externe en PASV" permet simplement d'éviter le message "Statut : Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.". Mais cela ne change en rien le problème ...

Ce que j'aimerai comprendre, c'est pourquoi le simple fait de changer le port 21 par le port 12345 fait planter la connexion FTP.

Je n'ai rien changé d'autre ...

Est-ce que cela veut dire qu'on ne peut faire du FTP actif que depuis le port 21 ?

Et que si on adresse un autre port on fait forcement du passif ?

Lien vers le commentaire
Partager sur d’autres sites

Coche la case PASV, et vérifie (comme le dit piwi) que la plage de ports passifs est bien ouverte

Si je coche cette case, le seul changement c'est que je n'ai plus le message "Statut : Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.".

Et accessoirement, je ne peux plus me connecter en local ....!!!!!!....

[...] juste que l'actif requiert des ports supplémentaires

Je croyais qu'au contraire, c'était le mode passif qui demandait l'ouverture de ports supplémentaires ....

Qu'en mode actif, il suffisait d'ouvrir le port 21 (ce que mon expérience personnelle tendait à vérifier)

PS : Je sais que ma plage de ports passif n'est pas ouverte, et que si je l'ouvre, cela va sans doute fonctionner...

Mais ce que j'aimerais comprendre, c'est pourquoi un simple changement de numéro de port vient casser ce qui fonctionnait avant ?

Lien vers le commentaire
Partager sur d’autres sites

Tant que tu ne préciseras pas comment tu effectues tes tests, c'est une perte de temps.

Dans un premier temps ne teste qu'en local avec des adresses IP locales, n'utilise pas de nom de machine ou de domaine.

Ne teste qu'avec le mode passif (le plus courant) et dis-nous où ça bloque.

Lien vers le commentaire
Partager sur d’autres sites

Bon, alors ça y est , après un certain nombre de tests dans tous les sens, d'ouvertures et de fermetures de ports, j'ai fini par comprendre ...

Mais voici le résultat de courses :

  • Service FTP défini sur le port 21, et au niveau du routeur, routage du port 21 vers le port 21 :

=> Le mode actif fonctionne ..
.
  • Service FTP défini sur le port 21, et au niveau du routeur, routage du port 12345 vers le port 21 :

=> Le mode actif fonctionne ...
  • Service FTP défini sur le port 12345, et au niveau du routeur, routage du port 12345 vers le port 12345 :

=> Le mode actif NE fonctionne PAS

Alors, est-ce un bug ou est-ce une fonctionnalité, je laisse aux experts le soin d'en discuter.

Personnellement, je n'ai rien trouvé sur le sujet dans Google ....

Lien vers le commentaire
Partager sur d’autres sites

Perso, je n'utilise pas le FTP sans TLS, car le mdp transit en clair ... Mais je n'ai aucun problème quant à l'utilisation de ports différents que ceux d'origine

Je dirais plutôt que tu changes le port channel, mais que tu n'as pas de port data, donc jamais tu ne pourras ...

Lien vers le commentaire
Partager sur d’autres sites

Je dirais plutôt que tu changes le port channel, mais que tu n'as pas de port data, donc jamais tu ne pourras ...

Je ne suis pas un spécialiste de la chose, mais d'après ce que j'en ai lu, en mode actif, et par défaut :

  • le client contacte le serveur via le control channel (port 21) . Celui ci doit donc être redirigé au niveau du routeur du serveur.
  • Puis le serveur établit une session vers le client via le data channel (port 20). Là, pas de problème de redirection...

Donc, si l'outil permet de changer le port du control channel, je ne vois pas en quoi cela impacte le data channel ....

Lien vers le commentaire
Partager sur d’autres sites

Trouvé ici :

http://slacksite.com/other/ftp.html

The main problem with active mode FTP actually falls on the client side. The FTP client doesn't make the actual connection to the data port of the server--it simply tells the server what port it is listening on and the server connects back to the specified port on the client. From the client side firewall this appears to be an outside system initiating a connection to an internal client--something that is usually blocked.

Au cas ou, pense aussi à désactiver le firewall du syno

Modifié par bud77
Lien vers le commentaire
Partager sur d’autres sites

  • 5 ans après...

Bonjour,

Après m'être arraché les cheveux sur un problème similaire avec le NAS WD MyCloud, j'ai finalement réussi a mettre en place une config qui marche. J'obtenais des erreurs du type 'Impossible de récupérer le contenu du dossier' ou 'Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur'

Ce qui péchait était effectivement que le seul port 21 (voire même 21 + 20) ouverts dans le routeur vers le NAS ne suffisent pas. Ce NAS utilise uniquement le mode passif et par conséquent comme expliqué plus haut, il faut ouvrir d'autre ports qui sont utilisés entre autre pour le listage des répertoires.

VOICI COMMENT METTRE EN PLACE LE SERVEUR FTP SUR WD MyCloud la config est la suivante :

---- I .ACTIVATION DU SERVICE FTP ET OBTENTION DES PORTS A OUVRIR----

1. Paramètres -> Réseau -> Service Réseau -> Accès FTP = MARCHE

2. Paramètres -> Réseau -> Service Réseau -> Accès FTP -> Configurer...

3. 1ère étape : laisser par défaut. Cliquer sur 'Suivant'

4. C'est ici qu'il  a fallu ruser : Mode Passif, cliquer sur 'Personnaliser'

     - L'assistant donne une plage de port du type 55536 - 55663 => C'est cette plage qu'il faudra ouvrir également dans le routeur (en sus du port 21)

     - Cocher 'Rapporter l'IP externe en mode PASV' et cliquer sur 'Obtenir l'adresse IP' 

      nb: en espérant que la vôtre soit une adresse ip fixe, sinon il faudra voir comment installer dyndns ou noip

5. Cliquer sur 'Suivant'

6. A cette étape suivante (jeu de caractères etc...) j'ai tout laissé par défaut, cliquer sur 'Suivant' à nouveau

7. Dernière étape (qui permet de bloquer certaines ip), laisser par défaut et cliquer sur 'Terminer'

----- II . OUVERTURE DES PORTS SUR LE FIREWALL INTERNE DU NAS ----

1. Paramètres -> Réseau -> Redirection de port -> AJOUTER

2. Paramètres de redirection de port -> 'Sélectionner le service d'analyse par défaut' -> SUIVANT

3. Sélectionner le service d'analyse par défaut -> Choisir FTP TCP 21 21

4. Cliquer sur 'Terminer'

--- III . ACTIVATION DU FTP SUR VOTRE DOSSIER PARTAGÉ ---

1. Dossiers Partagés - > Cliquer sur l'utilisateur dans la liste à gauche

2. Accès au dossier partagé -> Accès FTP -> MARCHE

3. Mode : 'Anonyme Lecture/Ecriture'

----- IV . OUVERTURE DES PORTS DANS VOTRE BOX / ROUTEUR ----

Ici c'est spécifique à chaque box / Routeur, mais toutes les box doivent avoir cette fonction, sous 'NAT' ou 'redirection de port'

Il y a donc au moins deux port/plages de ports à ouvrir dans votre box et vers votre NAS

1.   Port externe         Type               Protocole             Port de destination                   IP locale

             21                    Port                   TCP                                 21                     adresse IP locale de votre NAS

2.   Port externe         Type               Protocole             Port de destination                   IP locale

      55536-55663        Plage                TCP                      55536-55663              adresse IP locale de votre NAS

 

NOTE SECURITE : A ma connaissance, au moins sur le port 21 il est conseillé de choisir plutot un autre port, pour éviter les attaques pirates.

Vous pouvez donc faire une redirection sur le même modèle que ci-dessus en remplaçant le port externe 21 par exemple par le : Port externe 99599 avec  port de destination (inchangé) 21. Vous accèderez ainsi accéder à votre FTP par le port 99599 (et non plus 21). Votre routeur se charge de faire la translation et vous éviterez les attaques sur le port 21 qui est un des ports les plus scanné par les pirates.

----- V . CONNEXION A VOTRE NAS EN FTP ----

Avec les paramètres ci-dessus pour moi tout fonctionne. Ouvrez filezilla (ou tout autre client FTP) , et saisissez les paramètres ci-dessous :

Hote : l'adresse IP externe de votre connexion

Idendifiant : le nom de l'utilisateur authorisé sur votre dossier partagé

Mot de passe : le mot de passe de l'utilisateur

Port : 21 ou le port sécurisé que vous avez défini dans les redirections de port de votre routeur : comme donné en exemple plus haut : 99599

 

ça devrait être tout

Lien vers le commentaire
Partager sur d’autres sites

il y a 22 minutes, flxi a dit :

NOTE SECURITE : A ma connaissance, au moins sur le port 21 il est conseillé de choisir plutot un autre port, pour éviter les attaques pirates.

Vous pouvez donc faire une redirection sur le même modèle que ci-dessus en remplaçant le port externe 21 par exemple par le : Port externe 99599 avec  port de destination (inchangé) 21. Vous accèderez ainsi accéder à votre FTP par le port 99599 (et non plus 21). Votre routeur se charge de faire la translation et vous éviterez les attaques sur le port 21 qui est un des ports les plus scanné par les pirates.

Les ports sont codés sur 16bits, la valeur maximale qui peut être attribuée à un port est 65535 (216-1). Le port 99599 ne peut donc pas être utilisé, en plus d'être totalement inutile en terme de sécurité.

Si le service FTP doit être ouvert sur internet, il y a plusieurs choses à respecter :

Le non-respect d'un seul de ces 4 points rend le NAS vulnérable.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.