[Conf FTP Server] VSFTPD + SSL - HELP

Helbi · Le 17/11/2005, à 13:13

Bonjoour,
j'ai mis un ssl_enable dans mon fichier de conf, le certificat est bien généré et le client pour se connecté doit utilisé le chiffrage explicite TLS et accepté le certificat.
Le pb est que :
1) un utilisateur se connecte
2) il ne peut rien listé :
SANS MODE PASSIF rejeté
Réponse : 500 Illegal PORT command.
Erreur : N'a pas pu récupérer la liste du répertoire

AVEC MODE PASSIF reste blocké
Réponse : 200 Switching to ASCII mode.
Commande : PASV
Réponse : 227 Entering Passive Mode (192,168,0,1,243,65)
Commande : LIST

En utilisant la piste du passive mode, j'ai mis :
connect_from_port_20=YES

j'ai aussi ouvert le port 20 sur mon routeur.

Est ce que qqn aurai une idée? là je suis calé...

Merci

arvin · Le 17/11/2005, à 13:58

J'avais commencé à en parler sur http://forum.ubuntu-fr.org/viewtopic.php?pid=90919#p90919
mais je n'ai pas approfondi parce que je préfère mon serveur sftp que vsftp+ssl.
Si cela peut t'aider.

Helbi · Le 17/11/2005, à 14:18

Merci pour ta réponse, j'avoue que j'ai déjà parcouru et utilisé toutes les commandes de ton document fort intéressant d'ailleurs, mais je reste tout de meme blocké au meme point.

Helbi · Le 17/11/2005, à 14:30

Voici le fichier de conf vsftp si c'est nécessaire sachant que il y a une conf par user stocké dans un repertoire leur permettant d'avoir des droits particuliers, mais je ne penses pas qu'ils soient en faute sachant que dés qu'on enleve le ssl_enable cela marche tres bien.

listen=YES

ftpd_banner=blabla

anonymous_enable=NO
local_enable=YES

write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

guest_enable=YES
guest_username=virtual

chroot_local_user=YES

user_config_dir=/etc/vsftpd/vsftpd_user_conf

chown_uploads=YES
chown_username=USER

max_clients=20
max_per_ip=2

connect_from_port_20=YES

xferlog_enable=YES
xferlog_std_format=YES

idle_session_timeout=600

secure_chroot_dir=/var/run/vsftpd

pam_service_name=vsftpd

allow_anon_ssl=NO
force_local_data_ssl=YES
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES

Uggy · Le 17/11/2005, à 22:30

est ce que déjà cela fonctionne sans TLS. ?? je pense pas ?

SANS MODE PASSIF rejeté
Réponse : 500 Illegal PORT command.

Est ce que ca veut dire que le mode actif/port n'est pas supporté sur le serveur? vu ta conf non, car par defaut port_enable est a Yes...
Je pencehrais plutot un probleme de NAT entre le client et le server... T'as un truc qui fait de la translation ???

Réponse : 227 Entering Passive Mode (192,168,0,1,243,65)

La le serveur ouvre un autre port (en + du 21) pour le canal data(243x256 + 65), le port 62273 et attend que le client se connecte sur ce port..
Il faut donc que les eventuels firewall (cotés client + serveur) laisse passer des ouverture de connexion vers ce port dynamique

Helbi · Le 17/11/2005, à 23:47

est ce que déjà cela fonctionne sans TLS. ?? je pense pas ?

merci pour ta réponse, cela me fait plaisir car depuis 14h je regarde très régulièrement et j'avais peur de la non réponse

sans l'encryption et sans le mode passif, cela marche tres bien. Du moins personne dans mon entourage n'a eu à se plaindre.
il y a des deux cotés des firewalls (NAT Matériel)
ils redirigent simplement le port 21 et le port 20 sur le serveur ip x.x.x.1

Cependant aurais tu un avis sur la configuration necessaire pour que le mode actif passe ?

pour le mode passif il est impossible pour moi de mettre le mode passif car il me demandrai de désactivé les firewalls.

Uggy · Le 18/11/2005, à 01:16

SANS MODE PASSIF [..]Erreur : N'a pas pu récupérer la liste du répertoire

sans le mode passif, cela marche tres bien.

Faudrait savoir..En actif ca marche ou ca marche pas ???

ils redirigent simplement le port 21 et le port 20 sur le serveur ip x.x.x.1

Deja le port 20, c'est le port source en actif... (pas le port destination)

il est impossible pour moi de mettre le mode passif car il me demandrai de désactivé les firewalls

Comprend pas..

Helbi · Le 18/11/2005, à 09:21

bah il marche sans ssl en actif (normal)

dés que je met ssl, je n'arrive plus a listé le repertoire.

Remarque : la connexion depuis le rézo local me permet de tout faire fonctionné etc ... que dois je faire au niveau du routeur, ou de ma conf pour que les personnes à l'extérieur de mon rézo local puisse lister ?

Réponse : 500 Illegal PORT command.
Erreur : N'a pas pu récupérer la liste du répertoire

Gillaume · Le 20/11/2005, à 21:11

pasv_min_port=50000
pasv_max_port=60000

rajoute ceci dans /etc/vsftpd.conf, et ouvre ces ports correspondants dans ton firewall ....

j'ai déja eu ce pb, de rien qui ne se liste, alors que la connexion est OK .....
tiens nous au jus.
je vais manger
Bonne soirée.
Gui

Helbi · Le 21/11/2005, à 13:07

Effectivement ca passe comme ca, seulement je trouve que cette solution est tres peu sécuritaire. n'y a t'il pas une solution plus 'romanesque' j'aime la sécurité meme si j'en maitrise pas une seule bribe.
Cet astuce permettrai a n'importe qui de faire de la redirection de port, et je ne le souhaites pas (qui le souhaiterai) surtout pour les faiblesses du serveur samba en place sur le meme rézo.

Uggy · Le 21/11/2005, à 14:55

seulement je trouve que cette solution est tres peu sécuritaire

C'est comme ça en passif... le serveur ouvriras toujours un autre port pour le canal Data... soit au hasard.. soit au hasard dans la bande définie par pasv_min_port pasv_max_port

Si tu veux pas de ça, fait de l'actif, est ça sera le client qui aura un "probleme" de sécurité... car ça sera a lui de laisser passer le port data..
Ou alors ne fait pas de Ftp.. (Fais du scp/ssh)

Helbi · Le 21/11/2005, à 15:02

Tres bien, je vais me résoudre a faire ses ouvertures de port. Merci bcp a chacun de vous pour votre aide. J'espere pouvoir vous aider sur d'autres sujets si cela est dans mes compétences.

Cdt,
Helbi

Helbi · Le 28/11/2005, à 13:02

A noter que Filezilla a des difficultés lorsque l'on active le SSL.
Il faut faire attention a prendre donc un autre client FTP pour tester le serveur.

PB rencontré :

pour le client
Connexion OK
Listage possible mais pas affiché

pour le servuer
CONEXION OK
Listage envoyé
tout ce passe bien pour lui

Happy Conf

hic · Le 08/12/2005, à 19:26

Bonjour,
Apropos le VSFTPD + SSL, j'ai le même problème que toi, comment tu as fait? quels sont les ports qu'il faut autoruisés en entrée et en sortie. Je n'ai pas trouvé de soulutions sur le net.
Merci bcp

Pcollet · Le 13/01/2007, à 22:18

Moi, aussi j'ai eu un problème avec vsftpd, filezilla et la connexion SSL.
(commande PORT interdite).
Le problème a été résolu quand j'ai forcé filezilla a utilisé le mode passif !!

(Bouton avancé dans le gestionnaire de connexion de filezilla)

Patrick

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/11/2005, à 13:13

[Conf FTP Server] VSFTPD + SSL - HELP

#2 Le 17/11/2005, à 13:58

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#3 Le 17/11/2005, à 14:18

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#4 Le 17/11/2005, à 14:30

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#5 Le 17/11/2005, à 22:30

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#6 Le 17/11/2005, à 23:47

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#7 Le 18/11/2005, à 01:16

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#8 Le 18/11/2005, à 09:21

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#9 Le 20/11/2005, à 21:11

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#10 Le 21/11/2005, à 13:07

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#11 Le 21/11/2005, à 14:55

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#12 Le 21/11/2005, à 15:02

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#13 Le 28/11/2005, à 13:02

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#14 Le 08/12/2005, à 19:26

Re : [Conf FTP Server] VSFTPD + SSL - HELP

#15 Le 13/01/2007, à 22:18

Re : [Conf FTP Server] VSFTPD + SSL - HELP

Pied de page des forums