Serveur FTP derrière SpeedTouch Pro: Active ok! Passive = problème...

Serveur FTP derrière SpeedTouch Pro: Active ok! Passive = problème... - Windows & Software

Marsh Posté le 30-10-2001 à 14:26:08    

  Salut!  
 
Tout d'abord, je tiens à remercier http://www.macadsl.com pour sa page sur le passage ST Home -> Pro. C'est bien pratique (et pas que pour les possesseurs de Mac ;)).  
 
Mon problème est le suivant: Je cherche à installer un serveur FTP permanent sur mon ordinateur personnel. Hier soir, un ami a réussi, sans problème à télécharger quelques fichiers à partir de chez moi vers sa machine.  
Cependant, en arrivant ce matin au bureau, je n'ai pas pu me connecter sur mon serveur. Voici la fin du log (du client):  
 
[...]  
> TYPE A  
> 200 Type set to A.  
> PASV  
> 227 Entering Passive Mode (10,0,0,10,10,135)  
> Data Socket Error: Connection failed (Connection timed out)  
 
A noter: Le client demande un passage en passif (PASV) et le serveur lui renvoit une IP (10,0,0,10) ainsi que 2 nombres (10,135), qui assemblés constituent le nouveau port sur lequel le serveur va écouter les instructions. Etant donné que l'IP passée par le serveur (10.0.0.10) correspond à l'IP sur mon réseau perso de ma machine (derrière le modem routeur), il est évident que le client n'arrive pas à s'y connecter.  
 
Première question: Comment résoudre ce problème? Ou plus précisément, comment faire en sorte que mon serveur FTP rebalance (pour le PASV) mon IP chez le provider et non l'IP de ma machine sur mon mini-réseau local?  
 
Seconde question: Après avoir fait de nombreux essais et échanger quelques idées sur IRC, j'ai compris que ce problème de PASV était dû au fait que le poste client se trouvait derrière un firewall (ou une passerelle). Est-ce que quelqu'un peut m'expliquer le processus qui fait que l'on se met en PASV si l'on est derrière une gateway?  
 
Je vous remercie.  
 
  dCX

Reply

Marsh Posté le 30-10-2001 à 14:26:08   

Reply

Marsh Posté le 30-10-2001 à 14:31:04    

ben en fait, tout depend de ton serveur ftp...
 
Par exemple, serv-u permet de définir une adresse Ip a renvoyer en cas de tentative de connection en PASV. Le problème est que si tu as une ip mobile, ben la tu es mal, il faut changer la config a chaque changement d'ip.
 
Ensuite, il faut definir sur quels ports le serveur va accepter les connections en passive (serv-u permet de le faire également) et à ce moment la, il va falloir faire des regles de nat pour que ces ports soient ouverts sur le STH(P). Et là, ca peut etre tres tres pénible aussi...
 
Voila, j'espere avoir répondu à peu pres à la question, si tu as besoin d'eclaircissements...

Reply

Marsh Posté le 30-10-2001 à 15:31:02    

Salut,
 
Enfin un probleme interessant ;) .
 
Je pense que le probleme se situe au niveau du firewall/routeur (appelons-le firewall) qui fait du NAT pour la machine sur laquelle ton serveur FTP tourne.
 
Il faudrait que le firewall en question fasse ce que l'on appelle du "stateful inspection", c'est a dire qu'il regarde et "suive" les connexions en cours et opere les changements d'adresses IP *PAS* seulement au niveau des paquets IP (ce que fait le NAT), mais aussi dans le payload des paquets, dans le cas par exemple (typique) du FTP passif.
 
Sur Linux, par exemple, avec iptables, il y a un module  de connection-tracking (ip_conntrack_ftp) qui, couple a un module "ftp" (ip_nat_ftp.o), permet de faire ce genre de translation.
 
Le seul recours, si tu n'as pas acces a ce 'firewall' ou que tu ne sais pas comment le configurer, c'est de faire du FTP actif.
 
Bon courage,
 
Arno


---------------
Freeware de gestion de bourse : http://www.boursexpert.free.fr
Reply

Marsh Posté le 30-10-2001 à 15:45:15    

Une question dans ta table de routage, tu translate le port 21 sur ton serveur FTP ou pas ?


---------------
scuser pour les fotos de graphe mais le prof et moi z'etions amoureux de la mêm fille.
Reply

Marsh Posté le 30-10-2001 à 16:34:07    

Yes!
 
  Merci beaucoup pour vos réponses. Je teste ça ce soir.
 
cyber103: Le coup de spécifier l'IP à son serveur FTP, je l'ai déjà fait (sur d'autres serveurs) mais là, faut que je vérifie si je l'ai bien fait sous ServU. De plus, étant chez Nerim, j'ai pu demander une IP fixe pour gratos. Et ça, ça n'est pas négligeable. Ca rêgle au moins ce problème.
Pour les rêgles de NAT, j'imagine que ça peut être lourd, ouais. Mais tu penses qu'il faudrait que je mappe combien de port comme ça? Une dizaine? une centaine? Parce que l'interface qui permet le NAT est en mode console (et c'est pas la joie).
 
arnaud: Merci pour le compliment ;)... Un consultant technique firewall (de la société Global Control pour ne pas la citer) m'a parlé de la même chose: Utiliser un outil entre le serveur FTP et le routeur qui change les paquets de façon à donner pour le retour l'adresse internet du modem sur la toile et non de mon PC dans le réseau local. Cependant, je tourne sous Win2000 et n'ai pas actuellement le temps ni l'argent de m'investir dans une solution "linux-box-dans-les-chiottes-qui-tournent-forever
-et-sert-du-FTP-HTTP-AudioGalaxy-et-j'en-pas
se" :). Notons que ça m'intéresse beaucoup!
Alors oui, je pourrais me contenter de faire du FTP actif, mais ce serait limiter largement le nombre de mes clients.
 
vivacity: En effet, je translate le port 21 du routeur sur le 21 de mon PC. J'avoue que c'est un peu porcos (parce qu'il faut toujours éviter un private en 21... Sinon c'est la porte ouverte à toutes les fenêtres). Mais j'avais commencé par servir sur un autre port, et ceci ne m'avait amené que plus d'incompatibilités. Donc pour l'instant je fais comme ça. Si j'arrive à me blinder un serveur FTP comme ça, alors peut-être, j'envisagerais de mettre un port non standard.
 
  Quoiqu'il en soit, je vous remercie à nouveau pour vos réponses (qui sont pertinentes et bien utiles) et je vous laisse deux façons de me contacter: Par email: coax@free.fr et par ICQ: 15124719
 
  dCX _ pEACE

Reply

Marsh Posté le 30-10-2001 à 16:47:39    

Pour la sécurisation, avec mon routeur @ home (un RT311 sur une Speed Touch) j'ai intégré pour me protéger une règle de sécurité.
 
Je m'explique, le routeur ne réponds pas aux PING de l'extérieur, c'est à dire que le mec lorsque il va scanner comme un boucher tout le range d'adresse IP de la classe, il envoie une série de PING, si pas de réponse au PING, son logiciel passe à une autre adresse dans la classe, sans aller renifler si le port 21 est ouvert, et qu'un service FTP est démarré sur le station.
 
Un peu hors sujet, mais, je pense que cela peut t'aider.


---------------
scuser pour les fotos de graphe mais le prof et moi z'etions amoureux de la mêm fille.
Reply

Marsh Posté le 30-10-2001 à 16:54:54    

une dizaine de regles nat devraient suffir... En tout cas, c'est ce que j'ai fait chez moi, et ça marche plutot bien, donc...
 
Et puis pour le coup de l'ip fixe avec Nerim, c'est clair que c'est une solution idéale, d'autant plus que cette option est gratuite. Et en plus, Nerim est beaucoup plus stable que wanamou, donc je n'ai pas hésité une seule seconde.
 
Je sais bien que pour rentrer les regles de nat, c'est en ligne de commande, et ce n'est pas toujours tres tres joli, mais bon, pour un modem-routeur loué 45 frs par mois, je ne vais pas faire la fine bouche... Dommage seulement qu'il ne soit pas possible de donner un range de port ( et donc du coup, une seule regle nat au lieu d'une dizaine).
 
Et au vu du message pour le pasv, je pense effectivement que tu as oublié de rentrer l'ip dans servu (la derniere version, hein, pas une vielle qui elle ne permet pas de faire cette manip.) Et pareil, au meme endroit, tu défini le range de port a écouter pour le pasv. Voila, j'espere avoir été suffisement clair.
 
Read u soon.

Reply

Marsh Posté le 30-10-2001 à 16:57:19    

j'oubliais, le firewall intégré au sth(p) doit effectivement bloquer le ping, enfin je pense... La preuve, essaye de pinger www1.an196.org, tu ne devrais pas avoir de réponse, et pourtant, je peux t'assurer que je suis dessus et qu'il y a plusieur serveur en route :°)

Reply

Marsh Posté le 30-10-2001 à 17:14:59    

Je suis impressionné par la rapidité de vos réponses.
J'ai bien l'impression que mon serveur FTP sera "up and running" pas plus tard que ce soir. Et grâce à vous.
 
Ce forum monte sérieusement dans mon estime!
 
  dCX _ nICE tO sEE pEOPLE hELP eACH oTHER

Reply

Marsh Posté le 30-10-2001 à 17:19:49    

bah disons que lorsqu'on peut aider, on essaye de le faire, c'est tout et c'est normal (j'ai galéré comme un fou pour mon serveur ftp, cause passif aussi, et vieux serv-u, impossible de parametrer...)

Reply

Marsh Posté le 30-10-2001 à 17:19:49   

Reply

Marsh Posté le 30-10-2001 à 17:30:58    

Désolé d'intervenir à nouveau sur ce thread pour pas grand chose mais cyber103: Je t'ai envoyé un private message. Je ne sais pas si tu l'as lu (et ton site web ne répond pas)...
 
  dCX

Reply

Marsh Posté le 30-10-2001 à 20:52:30    

J'ai passé mon modem en Pro...
 
Je n'ai pas modifié mon firmware... Comment savoir si la fonction FireWall est activée...
 
Merci @+

Reply

Marsh Posté le 30-10-2001 à 20:58:41    

Ayrton: Je te conseille de débuter un nouveau topic à ce sujet. Je n'ai pas la réponse à la question. Mais ce forum (et ses participants) m'a aidé à résoudre mon problème.
 
En gros, un routeur peut, par la fermeture de ses ports, jouer un peu le rôle de firewall. Mais un firewall loguera tous les essais de connexion et ne permettra un flux entrant à partir de l'IP x que pour un flux sortant vers l'IP x...
 
  dCX _ tHAT'S aLL i kNOW

 

[edtdd]--Message édité par coaksarace--[/edtdd]

Reply

Marsh Posté le 31-10-2001 à 16:02:13    

Salut, j'ai le memme probleme, FTP derriere un routeur Netgear RT314, mais ce qui est bizarre, c'est que des personnes arrivent à se connecter chez moi sans pb alors que d'autres ont le plantage  
227 Entering Passive Mode (xxx,xxx,xxx,xxx).
Data Socket Error: Connection failed (Connection timed out)
 
pkoi certains passent et pas d'autres ????

 

[edtdd]--Message édité par VampirX--[/edtdd]


---------------
La lumière croit voyager plus vite que tout, mais elle se trompe. Elle aura beau foncer le plus vite possible, elle verra toujours que les ténèbres sont arrivées les premières et qu'elles l'attendent.
Reply

Marsh Posté le 31-10-2001 à 16:22:16    

VampirX a écrit a écrit :

Salut, j'ai le memme probleme, FTP derriere un routeur Netgear RT314, mais ce qui est bizarre, c'est que des personnes arrivent à se connecter chez moi sans pb alors que d'autres ont le plantage  
227 Entering Passive Mode (xxx,xxx,xxx,xxx).
Data Socket Error: Connection failed (Connection timed out)
 
pkoi certains passent et pas d'autres ????  




 
 
cela depend pas des clients ftp utilisés ?
pour certains il faut specifier le mode actif/passif

 

[edtdd]--Message édité par alf73--[/edtdd]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed