Probleme Serveur FTP avec SSL

Probleme Serveur FTP avec SSL - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 29-11-2007 à 16:49:07    

Bonjour, voila j'ai un ptit problème avec mon serveur FTP. Je suis sous Filezilla Serveur, il est hébergé sur un pc de mon réseau local derrière ma freebox qui est configuré en routeur. Filezilla Serveur est configuré en mode passif et j'ai configuré une plage de port. J'ai redirigé sur ma freebox le port 21 ainsi que ma plage de ports vers mon pc hébergeant mon serveur.  
Bon, en mode normal(sans cryptage des données) tout fonctionne très bien(connexion, transfert des données...) mais dès que j'active SSL/TLS sa merdouille. Pourtant la configuration me semble correct(en tout cas j'ai tester en local, la connexion SSL/TLS s'effectue bien et les données sont bien cryptées). Quand j'essaye de me connecter à mon serveur via Internet à l'aide de Filezilla Client je configure le mode FTPES-Chiffrement Explicite. La connexion s'effectue bien mais ca bloque lors du listage des données.
 

Code :
  1. Statut : Connexion sur 81.56.239.249:21...
  2. Statut : Connexion établie. Attente du message d'accueil...
  3. Réponse : 220 Bienvenue sur le serveur de Màtt!!!
  4. Commande : AUTH TLS
  5. Réponse : 234 Using authentication type TLS
  6. Statut : Initialisation TLS...
  7. Commande : USER matt
  8. Statut : Vérification du certificat...
  9. Statut : Connexion TLS/SSL établie.
  10. Réponse : 331 Password required for matt
  11. Commande : PASS ********
  12. Réponse : 230 Logged on
  13. Commande : PBSZ 0
  14. Réponse : 200 PBSZ=0
  15. Commande : PROT P
  16. Réponse : 200 Protection level set to P
  17. Statut : Connecté
  18. Statut : Récupération du contenu du répertoire...
  19. Commande : PWD
  20. Réponse : 257 "/" is current directory.
  21. Commande : TYPE I
  22. Réponse : 200 Type set to I
  23. Commande : PORT 172,16,1,69,8,144
  24. Réponse : 200 Port command successful
  25. Commande : LIST
  26. Réponse : 150 Opening data channel for directory list.
  27. Réponse : 425 Can't open data connection.


 
Seconde chose que je trouve très bizarre c'est que lorsque je test mon serveur FTP à l'aide du site http://www.g6ftpserver.com/en/ftptest la connexion et le listage des données s'effectues correctement  :??:  
 

Code :
  1. * About to connect() to 81.56.239.249 port 21
  2. * Trying 81.56.239.249... connected
  3. * Connected to 81.56.239.249 (81.56.239.249) port 21
  4. < 220 Bienvenue sur le serveur de MÃ tt!!!
  5. > AUTH SSL
  6. < 234 Using authentication type SSL
  7. * successfully set certificate verify locations:
  8. * CAfile: d:\www-bin\curl\curl-ca-bundle.crt
  9. CApath: none
  10. * SSLv3, TLS handshake, Client hello (1):
  11. SSLv3, TLS handshake, Server hello (2):
  12. SSLv3, TLS handshake, CERT (11):
  13. SSLv3, TLS handshake, Server finished (14):
  14. SSLv3, TLS handshake, Client key exchange (16):
  15. SSLv3, TLS change cipher, Client hello (1):
  16. SSLv3, TLS handshake, Finished (20):
  17. SSLv3, TLS change cipher, Client hello (1):
  18. SSLv3, TLS handshake, Finished (20):
  19. SSL connection using AES256-SHA
  20. * Server certificate:
  21. * subject: /CN=81.56.239.249/C=33/ST=centre/L=tours/O=plc/OU=bts/emailAddress=matt@free.fr
  22. * start date: 2007-11-01 23:48:40 GMT
  23. * expire date: 2008-10-31 23:48:40 GMT
  24. * common name: 81.56.239.249 (matched)
  25. * issuer: /CN=81.56.239.249/C=33/ST=centre/L=tours/O=plc/OU=bts/emailAddress=matt@free.fr
  26. * SSL certificate verify result: error number 1 (18), continuing anyway.
  27. > USER matt
  28. < 331 Password required for matt
  29. > PASS *****
  30. < 230 Logged on
  31. > PBSZ 0
  32. < 200 PBSZ=0
  33. > PROT P
  34. < 200 Protection level set to P
  35. > PWD
  36. < 257 "/" is current directory.
  37. * Entry path is '/'
  38. > CLNT Testing from http://www.g6ftpserver.com/ftptest from IP 85.68.211.190
  39. < 200 Don't care
  40. > FEAT
  41. < 211-Features:
  42. < MDTM
  43. < REST STREAM
  44. < SIZE
  45. < MLST type*;size*;modify*;
  46. < MLSD
  47. < AUTH SSL
  48. < AUTH TLS
  49. < UTF8
  50. < CLNT
  51. < MFMT
  52. < 211 End
  53. > PASV
  54. * Connect data stream passively
  55. < 227 Entering Passive Mode (81,56,239,249,195,81)
  56. * Trying 81.56.239.249... connected
  57. * Connecting to 81.56.239.249 (81.56.239.249) port 50001
  58. > TYPE A
  59. < 200 Type set to A
  60. > LIST
  61. < 150 Connection accepted
  62. * Doing the SSL/TLS handshake on the data stream
  63. * successfully set certificate verify locations:
  64. * CAfile: d:\www-bin\curl\curl-ca-bundle.crt
  65. CApath: none
  66. * SSL re-using session ID
  67. * SSLv3, TLS handshake, Client hello (1):
  68. SSLv3, TLS handshake, Server hello (2):
  69. SSLv3, TLS change cipher, Client hello (1):
  70. SSLv3, TLS handshake, Finished (20):
  71. SSLv3, TLS change cipher, Client hello (1):
  72. SSLv3, TLS handshake, Finished (20):
  73. SSL connection using AES256-SHA
  74. * Server certificate:
  75. * subject: /CN=81.56.239.249/C=33/ST=centre/L=tours/O=plc/OU=bts/emailAddress=matt@free.fr
  76. * start date: 2007-11-01 23:48:40 GMT
  77. * expire date: 2008-10-31 23:48:40 GMT
  78. * common name: 81.56.239.249 (matched)
  79. * issuer: /CN=81.56.239.239/C=33/ST=centre/L=tours/O=plc/OU=bts/emailAddress=matt@free.fr
  80. * SSL certificate verify result: error number 1 (18), continuing anyway.
  81. ######################################################################## 100,0%* SSLv3, TLS alert, Client hello (1):
  82. 226 Transfer OK
  83. ######################################################################## 100,0%-rw-r--r-- 1 ftp ftp 22528 Oct 31 13:06 CV Matt.doc
  84. -rw-r--r-- 1 ftp ftp 42987 Nov 22 14:53 fun001.jpg
  85. -rw-r--r-- 1 ftp ftp 738280070 Oct 30 10:25 This.is.england.2007.DVDRip.VOST.Fr.xvid-JzX-UnitY.avi
  86. -rw-r--r-- 1 ftp ftp 3584 Oct 27 2006 Thumbs.db
  87. * Connection #0 to host 81.56.239.249 left intact
  88. > QUIT
  89. < 221 Goodbye
  90. * Closing connection #0
  91. * SSLv3, TLS alert, Client hello (1):


 
Bon après pas mal de recherches, d'après ce que j'ai compris le problème est au niveau NAT, le routeur ne peut pas changer l'adresse ip privé en adresse publique (la sienne). Donc si je comprends bien c'est que les paquets arrivent crypter en totalités au routeur(et non uniquement les données comme je le pensais) et donc les paquets sont perdus. Comment le site arrive t-il alors à accèder a mes données? Pourquoi moi je n'y arrive pas?
 
Merci d'avance pour votre aide car j'avou qu'après moulte recherches je suis dans le brouillard le plus total  :(


Message édité par Juuni le 29-11-2007 à 16:53:12
Reply

Marsh Posté le 29-11-2007 à 16:49:07   

Reply

Marsh Posté le 29-11-2007 à 17:05:47    

Si tu regardes le détail des traces de l'essai du site, tu verras que le mot clé PASSV apparait, alors qu'il n'apparait pas dans ton essai.
De plus, l'impossibilité de lister le contenu du répertoire prouve bien que tu es en FTP actif.
Si tu en as la possibilité, connectes toi sur ton serveur depuis l'exterieur avec un client FTP en ligne de commandes, et tapes "passive" pour activer le mode passif. Le listage devrait fonctionner .

Reply

Marsh Posté le 29-11-2007 à 17:18:24    

Ok, je me suis rendu déjà compte de ca mais le problème est que l'endroit d'où je me connecte avec mon client il y a des règles de filtrage qui empeche le mode passif. Enfin bon je vais essayer de me connecter d'un autre endroit. Par contre pourrait tu me dire comment la translation d'adresse est possible alors que les paquets sont encrypter?
Merci pour ton aide Joe.

Reply

Marsh Posté le 29-11-2007 à 17:25:32    

Ce qui est crypté, c'est uniquement la charge utile du paquet, pas le paquet en entier. Si tout le paquet était crypté, les équipements réseau intermédiaires ne pourraient pas le gérer ;).

 

Ton problème est vraiment typique d'une connexion FTP active derrière un firewall/Routeur.
Aucun doute pour moi là dessus.


Message édité par Joeman79 le 29-11-2007 à 17:25:52
Reply

Marsh Posté le 29-11-2007 à 22:21:45    

Oki, ba je vais essaye de me connecter d'un autre endroit. Je reviens donner des nouvelles dès que j'ai la possibilité de faire un nouveau test. merci encore Joeman.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed