Probleme Serveur FTP avec SSL

Probleme Serveur FTP avec SSL - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 29-11-2007 à 16:49:07    

Bonjour, voila j'ai un ptit problème avec mon serveur FTP. Je suis sous Filezilla Serveur, il est hébergé sur un pc de mon réseau local derrière ma freebox qui est configuré en routeur. Filezilla Serveur est configuré en mode passif et j'ai configuré une plage de port. J'ai redirigé sur ma freebox le port 21 ainsi que ma plage de ports vers mon pc hébergeant mon serveur.  
Bon, en mode normal(sans cryptage des données) tout fonctionne très bien(connexion, transfert des données...) mais dès que j'active SSL/TLS sa merdouille. Pourtant la configuration me semble correct(en tout cas j'ai tester en local, la connexion SSL/TLS s'effectue bien et les données sont bien cryptées). Quand j'essaye de me connecter à mon serveur via Internet à l'aide de Filezilla Client je configure le mode FTPES-Chiffrement Explicite. La connexion s'effectue bien mais ca bloque lors du listage des données.
 

Code :
  1. Statut : Connexion sur 81.56.239.249:21...
  2. Statut : Connexion établie. Attente du message d'accueil...
  3. Réponse : 220 Bienvenue sur le serveur de Màtt!!!
  4. Commande : AUTH TLS
  5. Réponse : 234 Using authentication type TLS
  6. Statut : Initialisation TLS...
  7. Commande : USER matt
  8. Statut : Vérification du certificat...
  9. Statut : Connexion TLS/SSL établie.
  10. Réponse : 331 Password required for matt
  11. Commande : PASS ********
  12. Réponse : 230 Logged on
  13. Commande : PBSZ 0
  14. Réponse : 200 PBSZ=0
  15. Commande : PROT P
  16. Réponse : 200 Protection level set to P
  17. Statut : Connecté
  18. Statut : Récupération du contenu du répertoire...
  19. Commande : PWD
  20. Réponse : 257 "/" is current directory.
  21. Commande : TYPE I
  22. Réponse : 200 Type set to I
  23. Commande : PORT 172,16,1,69,8,144
  24. Réponse : 200 Port command successful
  25. Commande : LIST
  26. Réponse : 150 Opening data channel for directory list.
  27. Réponse : 425 Can't open data connection.


 
Seconde chose que je trouve très bizarre c'est que lorsque je test mon serveur FTP à l'aide du site http://www.g6ftpserver.com/en/ftptest la connexion et le listage des données s'effectues correctement  :??:  
 

Code :
  1. * About to connect() to 81.56.239.249 port 21
  2. * Trying 81.56.239.249... connected
  3. * Connected to 81.56.239.249 (81.56.239.249) port 21
  4. < 220 Bienvenue sur le serveur de MÃ tt!!!
  6. > AUTH SSL
  7. < 234 Using authentication type SSL
  8. * successfully set certificate verify locations:
  9. * CAfile: d:\www-bin\curl\curl-ca-bundle.crt
  10. CApath: none
  11. * SSLv3, TLS handshake, Client hello (1):
  12. SSLv3, TLS handshake, Server hello (2):
  13. SSLv3, TLS handshake, CERT (11):
  14. SSLv3, TLS handshake, Server finished (14):
  15. SSLv3, TLS handshake, Client key exchange (16):
  16. SSLv3, TLS change cipher, Client hello (1):
  17. SSLv3, TLS handshake, Finished (20):
  18. SSLv3, TLS change cipher, Client hello (1):
  19. SSLv3, TLS handshake, Finished (20):
  20. SSL connection using AES256-SHA
  21. * Server certificate:
  22. * subject: /CN=81.56.239.249/C=33/ST=centre/L=tours/O=plc/OU=bts/emailAddress=matt@free.fr
  23. * start date: 2007-11-01 23:48:40 GMT
  24. * expire date: 2008-10-31 23:48:40 GMT
  25. * common name: 81.56.239.249 (matched)
  26. * issuer: /CN=81.56.239.249/C=33/ST=centre/L=tours/O=plc/OU=bts/emailAddress=matt@free.fr
  27. * SSL certificate verify result: error number 1 (18), continuing anyway.
  29. > USER matt
  30. < 331 Password required for matt
  32. > PASS *****
  33. < 230 Logged on
  35. > PBSZ 0
  36. < 200 PBSZ=0
  38. > PROT P
  39. < 200 Protection level set to P
  41. > PWD
  42. < 257 "/" is current directory.
  43. * Entry path is '/'
  45. > CLNT Testing from http://www.g6ftpserver.com/ftptest from IP 85.68.211.190
  46. < 200 Don't care
  48. > FEAT
  49. < 211-Features:
  50. < MDTM
  51. < REST STREAM
  52. < SIZE
  53. < MLST type*;size*;modify*;
  54. < MLSD
  55. < AUTH SSL
  56. < AUTH TLS
  57. < UTF8
  58. < CLNT
  59. < MFMT
  60. < 211 End
  62. > PASV
  63. * Connect data stream passively
  64. < 227 Entering Passive Mode (81,56,239,249,195,81)
  65. * Trying 81.56.239.249... connected
  66. * Connecting to 81.56.239.249 (81.56.239.249) port 50001
  68. > TYPE A
  69. < 200 Type set to A
  71. > LIST
  72. < 150 Connection accepted
  73. * Doing the SSL/TLS handshake on the data stream
  74. * successfully set certificate verify locations:
  75. * CAfile: d:\www-bin\curl\curl-ca-bundle.crt
  76. CApath: none
  77. * SSL re-using session ID
  78. * SSLv3, TLS handshake, Client hello (1):
  79. SSLv3, TLS handshake, Server hello (2):
  80. SSLv3, TLS change cipher, Client hello (1):
  81. SSLv3, TLS handshake, Finished (20):
  82. SSLv3, TLS change cipher, Client hello (1):
  83. SSLv3, TLS handshake, Finished (20):
  84. SSL connection using AES256-SHA
  85. * Server certificate:
  86. * subject: /CN=81.56.239.249/C=33/ST=centre/L=tours/O=plc/OU=bts/emailAddress=matt@free.fr
  87. * start date: 2007-11-01 23:48:40 GMT
  88. * expire date: 2008-10-31 23:48:40 GMT
  89. * common name: 81.56.239.249 (matched)
  90. * issuer: /CN=81.56.239.239/C=33/ST=centre/L=tours/O=plc/OU=bts/emailAddress=matt@free.fr
  91. * SSL certificate verify result: error number 1 (18), continuing anyway.
  92. ######################################################################## 100,0%* SSLv3, TLS alert, Client hello (1):
  93. 226 Transfer OK
  94. ######################################################################## 100,0%-rw-r--r-- 1 ftp ftp 22528 Oct 31 13:06 CV Matt.doc
  95. -rw-r--r-- 1 ftp ftp 42987 Nov 22 14:53 fun001.jpg
  96. -rw-r--r-- 1 ftp ftp 738280070 Oct 30 10:25 This.is.england.2007.DVDRip.VOST.Fr.xvid-JzX-UnitY.avi
  97. -rw-r--r-- 1 ftp ftp 3584 Oct 27 2006 Thumbs.db
  98. * Connection #0 to host 81.56.239.249 left intact
  101. > QUIT
  102. < 221 Goodbye
  103. * Closing connection #0
  104. * SSLv3, TLS alert, Client hello (1):


 
Bon après pas mal de recherches, d'après ce que j'ai compris le problème est au niveau NAT, le routeur ne peut pas changer l'adresse ip privé en adresse publique (la sienne). Donc si je comprends bien c'est que les paquets arrivent crypter en totalités au routeur(et non uniquement les données comme je le pensais) et donc les paquets sont perdus. Comment le site arrive t-il alors à accèder a mes données? Pourquoi moi je n'y arrive pas?
 
Merci d'avance pour votre aide car j'avou qu'après moulte recherches je suis dans le brouillard le plus total  :(


Message édité par Juuni le 29-11-2007 à 16:53:12
Reply

Marsh Posté le 29-11-2007 à 16:49:07   

Reply

Marsh Posté le 29-11-2007 à 17:05:47    

Si tu regardes le détail des traces de l'essai du site, tu verras que le mot clé PASSV apparait, alors qu'il n'apparait pas dans ton essai.
De plus, l'impossibilité de lister le contenu du répertoire prouve bien que tu es en FTP actif.
Si tu en as la possibilité, connectes toi sur ton serveur depuis l'exterieur avec un client FTP en ligne de commandes, et tapes "passive" pour activer le mode passif. Le listage devrait fonctionner .

Reply

Marsh Posté le 29-11-2007 à 17:18:24    

Ok, je me suis rendu déjà compte de ca mais le problème est que l'endroit d'où je me connecte avec mon client il y a des règles de filtrage qui empeche le mode passif. Enfin bon je vais essayer de me connecter d'un autre endroit. Par contre pourrait tu me dire comment la translation d'adresse est possible alors que les paquets sont encrypter?
Merci pour ton aide Joe.

Reply

Marsh Posté le 29-11-2007 à 17:25:32    

Ce qui est crypté, c'est uniquement la charge utile du paquet, pas le paquet en entier. Si tout le paquet était crypté, les équipements réseau intermédiaires ne pourraient pas le gérer ;).

 

Ton problème est vraiment typique d'une connexion FTP active derrière un firewall/Routeur.
Aucun doute pour moi là dessus.


Message édité par Joeman79 le 29-11-2007 à 17:25:52
Reply

Marsh Posté le 29-11-2007 à 22:21:45    

Oki, ba je vais essaye de me connecter d'un autre endroit. Je reviens donner des nouvelles dès que j'ai la possibilité de faire un nouveau test. merci encore Joeman.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed