Protocole FTP : demande d'éclaircissements ... - Windows & Software
Marsh Posté le 16-03-2004 à 12:52:37
http://www.linux.efrei.fr/datadoc/ [...] -Linux.pdf
Marsh Posté le 16-03-2004 à 14:13:04
Ok merci pour ce document, court mais concis
donc en mode passif, le client initie une connection sur le port X (choisi par le serveur)
Ce mode peut-être gené :
1)par la présence d'un firewall coté serveur qui bloque la tentative de connexion sur le port X de la part du client
2) par la présence d'un NAT coté serveur qui recoit la connexion du clients sur le port X mais ne sait pas vers quelle machine du LAN la rediriger (d'où l'obligation de faire du routage sur une plage de ports précis pour que le passif fonctionne).
3) par la présence d'un firewall coté client qui bloque le client FTP dans sa tentative de connection au serveur sur le port X
ce que j'ai du mal à comprendre, c'est que tout ça semble hautement restrictif vu la prolifération des firewall et des NAT. Or perso je me connecte en actif de mon ordi perso à des FTP alors même que le firewall de mon XP devrait bloquer la connexion initiée par le serveur sur un port X de ma machine.
De plus, de chez moi, impossible de me connecter en actif sur le FTP de mon boulot alors qu'en passif cela fonctionne. Pourtant je n'ai pas configurer le serveur FTP pour du passif et de plus je n'ai pas routé de plage de ports sur le routeur hard en amont du serveur FTP
Doit y avoir un truc qui m'échappe
Un bonne âme pour me montrer la lumière ???
Marsh Posté le 16-03-2004 à 14:13:58
En mode passif c le client qui initie la connexion data.
Comme tu l'as expliqué dans tes points 2 et 3 (le cas 1 est totalement improbable à moins qu'un abruti ait configuré le FW) cela permet une plus grande compatibilité avec les FW/NAT coté client.
Marsh Posté le 16-03-2004 à 14:18:11
Gaard28 a écrit : En mode passif c le client qui initie la connexion data. |
ah !?
moi j'avais plutôt compris que le mode actif n'était pas approprié à des clients derrière un firewall puisque c'est le serveur qui tente une connexion sur le port X du client. Port X bloqué par le firewall du client. Non ?
Marsh Posté le 16-03-2004 à 16:04:45
J'ai du mal m'exprimé parce que d'après ce que je lis on est d'accord :
passif : client initie la connexion data d'où possibilité de traverser le FW
actif : le serveur initie la connexion : risque de refus du FW
Marsh Posté le 16-03-2004 à 20:01:08
shongail a écrit : Suite a des soucis de connections à mon serveur FTP depuis l'installation d'un routeur hard, je m'interesse de près aux specs du FTP, notamment la différence entre les modes actif/passif. |
En mode passif, c'est le client qui initie la communication, pas le serveur. C'est le contraire bien sur en mode actif.
Et le mode passif est de loin le plus sécurisé.
Marsh Posté le 17-03-2004 à 08:54:52
Gilbert Gosseyn a écrit : En mode passif, c'est le client qui initie la communication, pas le serveur. C'est le contraire bien sur en mode actif. |
ok je crois avoir bien saisi la théorie. mais celle-ci ne résiste pas à mes essais empiriques, comme exposé dans mes questions auparavant.
Merci de m'aider à comprendre pour mieux sortir des profondeurs abyssales ou mon esprit logique se trouve actuellement
Marsh Posté le 17-03-2004 à 12:07:06
je dois dire que je ne comprends pas quel est ton problème.
Heureusement que FTP (en mode client, donc passif) traverse les NAT sans difficulté, sinon yaurait pas beaucoup de téléchargements.
Et comme la demande de branchement sur le serveur (la synchro) vient du client, ce n'est pas son firewall qui va rouspeter.
donc : c'est quoi tes essais empiriques ?
Marsh Posté le 16-03-2004 à 12:46:19
Suite a des soucis de connections à mon serveur FTP depuis l'installation d'un routeur hard, je m'interesse de près aux specs du FTP, notamment la différence entre les modes actif/passif.
De ce que j'ai lu (ici par exemple : http://www.openbsd.org/faq/pf/fr/ftp.html ), en mode actif, c'est le client FTP qui envoie au serveur le n° de port (port X) sur lequel doit avoir lieu l'échange de données. Le serveur se connecte alors vers le client sur le port X
J'en conclue que ce mode peut être géné :
1)par la présence d'un firewall coté serveur qui bloquerait la connexion à destination du client (exemple : le serveur tente une connexion à travers le port 2563 vers le port X du client or le firewall coté serveur bloque le port 2563 de LAN vers WAN)
2)par la présence d'un NAT coté client. Le serveur initie la connexion vers le port X du client. Le NAT du client recoit une connexion sur le port X. Pas de routage définie donc la connexion est rejetée.
3)par la présence d'un firewall coté client. Une connexion sur le port X du client est bloquée par son firewall.
J'ai bon ?
En mode passif, c'est le serveur qui choisi un port X. Qui initie alors la connection ? Le client ou le serveur ? Je n'ai pas réussi à savoir