[résolu] Mode passif avec pure-ftp

CasseTaTele · Le 30/01/2007, à 11:05

Bonjour,

j'ai installé un serveur ftp avec pure-ftp derriere une livebox et un pare feux mais il ne fonctionne qu'en mode actif... /
Du coup, certains potes n'arrivent pas à se connecter car leur client ftp fonctionne en mode passif...

Pour faire fonctionner le mode passif j'ai vu qu'il fallait ouvrir des ports sur le pare feux (par exemple 50000-50400), je peux par ailleurs rediriger ces ports depuis la livebox vers ma machine sur le routeur NAT. Puis il faut lancer pure-ftp avec l'option -p :

/usr/local/sbin/pure-ftpd -p 50000:50400 &

Je n'ai pas encore essayé cette manip mais j'ai plusieurs questions :

1) Comment préciser l'option '-p 50000:50400' dans le cas d'un lancement automatique par le script situé dans '/etc/init.d/pure-ftpd' ?

2) La documentation précise :
First, you have to open port 21 TO the FTP server. You also have to allow connections FROM (not to) ports<= 20 (of the FTP server) to everywhere. [...]
So, open some ports TO the FTP server.
Comment n'autoriser l'ouverture des port que dans un sens (j'utilise firestarter pour gérer le firewall) ?

Dernière modification par CasseTaTele (Le 22/02/2007, à 15:24)

[Gx]Dimos · Le 30/01/2007, à 19:59

salut.
Chez moi ça marche :
Déjà, j'ai suivit la doc en remplacent simplement le nom d'utilisateur et le dossier de partage :
http://doc.ubuntu-fr.org/pure-ftp

http://www.youtube.com/watch?v=A la fin, s'assurer que l'utilisateur créer existe :
(remplacer password par 'p w' sans espaces)

~$ sudo pure-pw show ton_utilisateur

Qu'il ait accès à des données :

~$ sudo pure-pw list

Ensuite, pour utiliser pure ftp en mode passif il faut :

Créer un fichier PassivePortRange dans etc/pure-ftpd/conf/ :

~$ sudo gedit /etc/pure-ftpd/conf/PassivePortRange

Lui entrer deux valeur numériques entre 1024 et 65535.
Exemple :

3000 3100

Pure-ftp utilisera alors un port entre 3000 et 3100 pour le transport de données.

Dans le mode FTP passif , le client demande au serveur de choisir un port aléatoire sur lequel ce dernier se mettra à l'écoute en attente de la connexion de données. Le serveur communique au client le port qu'il a choisi pour le transfert des données.

Créer un fichier NATmode dans /etc/pure-ftpd/conf/ :

~$ sudo gedit /etc/pure-ftpd/conf/NATmode

Lui entrer la valeur :

no

Priorité au mode passif.

Redémarrer pure-ftp :

~$ sudo /etc/init.d/pure-ftpd restart

Pour tester son ftp, aller voir ici :
http://www.g6ftpserver.com/fr/ftptest
Si l'erreur :

< 500 Unknown command

apparaît, c'est pas grave, ça marche quand même. (je l'ai aussi mais j'ai pas cherché tant que ça marche).

Bonne continuation.
@+

Dernière modification par [Gx]Dimos (Le 31/01/2007, à 08:42)

[Gx]Dimos · Le 30/01/2007, à 20:20

J'oubliai, il faut ouvrir la plage de port choisi (PassivePortRange) dans IPtables, la LiveBox et les rediriger. Mettre aussi une adresse IP du pc fixe.

Avec IPtables, utilise Firestarter , une interface graphique bien intégré qui permet d'appliquer des règles facilement :

~$ sudo apt-get install firestarter

Pour le lancer :

Système > Administration > Firestarter

Onglet Politique , dans autoriser le service, clic droit, ajouter une règle :
Nom : Ftp, port : 20-21, pour tous le monde.
Nom : Ftp passif, port : 3000-3100 (comme dans l'exemple PassivePortRange), pour tous le monde.

Avec la LiveBox :
firefox 192.168.1.1 > Configuration > Avancée > Routeur | Ajouter (2 règles) :

1 Nom : FTP, Protocole : TCP, Port ext : 21, Port int : 21,Adresse Ip : celle du pc.
2 Nom : FTPpassif, : Protocole TCP, Port ext 3000-3100,Port int 3000-3100, Adresse Ip : celle du pc.

Dernière modification par [Gx]Dimos (Le 30/01/2007, à 21:44)

[Gx]Dimos · Le 30/01/2007, à 20:44

Ton ftp devrais fonctionner normalement sans problèmes.
Mais si une personne souhaite se connecter tu devra lui faire passer l'adresse Ip de ta LiveBox, qui change à chaque connexion/reconnections. (pour la voir : dans firefox > 192.168.1.1 > Mes services > Internet | Votre adresse IP est : 118.218.118.218 )

Alors, pour finir, il reste à ouvrir un compte sur dyndns.org pour obtenir une adresse IP statique.

Aller ici :http://www.dyndns.com/

Account > Create Account > remplir le formulaire.

Va voir tes mail pour voir si tu est bien enregistrer puis retourne sur http://www.dyndns.com/, identifie toi,

Va dans :

My Services > Add Host Services | Add Dynamic DNS Host
Choisis un 'Hostname' et dans la liste, utilise dyndns.org
Add Host

Maintenant, dans la LiveBox :
192.168.1.1 > Configuration > Avancée > DNS Dynamique

Service > DynDNS

Nom de domaine Internet > ton_hostname.dyndns.org
Email
Identifiant > ton_identifiant_sur_le_site_dyndns.org
Mot de passe > ton_mot_de_passe_pour_les_site_dyndns.org

Puis soumettre.

Tu doit obtenir :

Statut du serveur : ton_hostname.dyndns.org: Update good and successful, IP updated.

Plus d'informations et en images concernant dyndns.org. (merci à eux:P)
http://www.kachouri.com/tuto/tuto-17-co … nscom.html

Maintenant pour essayer avec un client FTP simple en mode passif puis actif, installe l'extension FireFtp pour firefox :
http://extensions.geckozone.org/FireFTP

Dans firefox > outils > FireFtp
puis Gestionnaire de comptes FTP > nouveau

Onglet Général
Compte > casstatele
Hôte > ton_hostname.dyndns.org
Identifiant > l'identifiant de connection pure ftp
Mot de passe > mot de passe de connection pure ftp

Onglet Connections :
Sélectionne le mode passif pour essayer ( essaye aussi en mode actif ).
Sélectionne Ipv6.

Connecter

Voila, j'ai fini.
j'espère que tu trouvera ton bonheur.

Ps :
si ça ne marche pas, envoi le log de Fire Ftp.:)

@+

Dernière modification par [Gx]Dimos (Le 30/01/2007, à 21:40)

CasseTaTele · Le 03/02/2007, à 11:22

Salut et merci pour tout ce tuto,

j'ai surtout fais la manip pour passer en mode passif mais j'ai pas tenté de redémarrer le serveur car il y a déjà un pote qui download en 'mode actif' donc je veux pas le perturber : o ) ..... Je testerai donc plus tard...

En ce qui concerne l'ip dynamique j'avais déjà tout géré avec no-ip.org

Sinon c'est aussi comme ça que j'avais configuré mon routeur et mon firewall mais je m'interrogais (question n°2) sur le sens des connections autorisées.
Dans la doc il est spécifié :

First, you have to open port 21 TO the FTP server. You also have to allow connections FROM (not to) ports<= 20 (of the FTP server) to everywhere.

Pour moi cela veut dire qu'il faut :
- accepter les infos entrantes à destination du serveur ftp sur le port 21 (mais pas les sortantes)
- accepter les infos sortantes du serveur ftp sur le port 20 (mais pas les infos entrantes)

Donc en résumé le port 21 pour le sens 'tout le monde'-->'serveur ftp'
et le port 20 pour le sens 'serveur ftp'-->'tout le monde'

le documentation précise bien "FROM (not to)" donc je pense que c'est important pour la sécurité or je vois pas comment configurer les ports pour ne fonctionner que dans un sens...

Autres questions qui me venaient à l'esprit :
- j'aimerais que l'ensemble des utilisateurs du serveur ftp se partage une bande passante de 50 ko/s :
il y a bien l'option '-t' lors de la création du compte mais si je mets '-t 50' et si deux utilisateurs sont connectés, ils consommeront chacun 50 ko/s donc en tout 100 ko/s... d'un autre coté si je les limites à 25ko/s ils ne profitent pas pleinement de la bande passante s'ils sont seuls ...

- pure-admin est bien foutu, mais existe t'il un utilitaire qui surveille l'ensemble des connections réseaux (je sais qu'il en existe mais quel est le meilleur ?) j'aimerai notamment pouvoir voir si des gens sont connecté sur mon serveur http

Dernière modification par CasseTaTele (Le 03/02/2007, à 11:23)

[Gx]Dimos · Le 03/02/2007, à 12:52

En mode actif :

Dans le mode FTP actif, quand un utilisateur se connecte à un serveur FTP distant et demande une information ou un fichier (port 21), le serveur FTP effectue une connexion vers le client pour transférer les données demandées. Cette connexion est appelée la connexion de données(port 20). Pour commencer, le client FTP choisit un port aléatoire qui lui servira pour recevoir les données. Le client envoie le numéro de port qu'il a choisi au serveur FTP puis se met à l'écoute des connexions entrantes à destination de ce port. Le serveur FTP initie ensuite une connexion vers l'adresse du client sur le port choisi et transfère les données. Ce mode de fonctionnement est problématique pour les utilisateurs essayant d'accéder à des serveurs FTP lorsqu'ils sont derrière une passerelle NAT. Vu la manière dont fonctionne la NAT, le serveur FTP initie la connexion de données en se connectant à l'adresse externe de la passerelle NAT sur le port choisi. La passerelle NAT n'a pas de correspondance pour le paquet reçu dans sa table d'état. Le paquet sera ignoré et ne sera pas délivré au client.

En mode passif :

Dans le mode FTP passif, le client demande au serveur (par le port 20) de choisir un port aléatoire sur lequel ce dernier se mettra à l'écoute en attente de la connexion de données (port compris entre 3000-3100 dans notre exemple). Le serveur communique au client le port qu'il a choisi pour le transfert des données. Malheureusement, ce n'est pas toujours possible ou souhaitable à cause de la possibilité d'existence d'un pare-feu devant le serveur FTP (on à autorisé les connections sur cette plage de port )qui bloquerait les connexions de données en entrée.

Il est donc inutile d'ouvrir le port 20 pour les connections entrantes sur les serveur ftp et le port 21 pour les connections sortantes du serveur ftp.
Avec firestarter, il est faut autoriser le service FTP avec le port 21 pour tous le monde.
Il n'est pas nécessaire de bloquer le port 20 en sortie.

Concernant l'utilisation de la bande passante de tes client :
J'ai créer 1 seul client virtuel qui à droit à 5 connections simultanés au serveur mais 1 seule connections par IP.
Toutes les personnes qui ont accès à mon ftp se partage 60Ko/s lorsqu'elles sont connectés simultanément.
Un seul client connecter utilisera toute la bande passante disponible.

# -c : Autoriser au maximum de [n] connexions simultanées au serveur. ici = 5.
# -C : Autoriser au maximum [n] connexions simultanées venant de la même adresse ip au serveur. ici n=1.

Dernière modification par [Gx]Dimos (Le 03/02/2007, à 14:24)

CasseTaTele · Le 03/02/2007, à 13:25

ok merci, je te crois : o )
autre petite question sur les ports :
si j'ouvre un port pour FrostWire (mettont le port 2005 pour exemple) et que ce port 2005 est bien redirigé sur ma machine par la livebox,
lorsque l'application FrostWire ne fonctionne pas, est-ce que quelqu'un peut utiliser ce port 2005 pour "pirater" mon pc (sachant que le port reste ouvert) ? est-t'il plus prudent de fermer ce port à chaque fois que je ferme FrostWire et si oui comment le faire simplement ?

[Gx]Dimos · Le 03/02/2007, à 14:07

La tu me pose une colle
Déjà, si tu à ouvert et dirigés ce port, que FrostWire fonctionne ou pas, ce port pourra être utilisé pour un intrusion.

Chez moi, Firestarter bloque les tentatives d'intrusion sur les port 4662 et 4672 qui sont ouvert et redirigés (dans firestarter , onglet évènements).
Comment ca marche ??? j'y sais pas.

CasseTaTele · Le 04/02/2007, à 21:46

Tant pis, je sais pas si ça craint...

lorsque je fais un nmap sur mon adresse ip, je trouve ces ports d'ouverts :

sebastien@sebastien-desktop:~$ nmap xxxx.org

Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2007-02-04 14:23 CET
Interesting ports on xxxxxxxxxxx.abo.wanadoo.fr xxxxxxxxxx

Not shown: 1672 closed ports
PORT      STATE    SERVICE
21/tcp    open     ftp
53/tcp    open     domain
80/tcp    open     http
54320/tcp filtered bo2k
61439/tcp filtered netprowler-manager
61440/tcp filtered netprowler-manager2
61441/tcp filtered netprowler-sensor

le port 80 est pour serveur http, le 21 et les 4 derniers sont dans l'intervalle que j'ai précisé pour le mode passif du serveur ftp.
mais je sais pas à quoi correspond le port 53 ni pourquoi il est ouvert... comment le fermer ?
est-il normal de pouvoir voir les ports ouverts sur ma machine ?
ne peut t'on pas les masquer et comment ?
j'ai essayé de suivre le tutoriel sur ce lien mais ça correspond pas à ma config et j'arrive pas à me dépétrer, est-ce qu'il y a un bon tuto pour sécuriser son pc ? (http://olivieraj.free.fr/fr/linux/infor … 02-05.html)

CasseTaTele · Le 05/02/2007, à 15:12

Tiens c'est bizard, lorsque je fais un nmap sur mon adresse depuis une autre machine à partir du boulot, j'obtiens un truc différents :

Not shown: 1667 filtered ports
PORT     STATE  SERVICE
20/tcp   closed ftp-data
21/tcp   open   ftp
80/tcp   open   http
412/tcp  closed synoptics-trap
1214/tcp closed fasttrack
3531/tcp closed peerenabler
4662/tcp closed edonkey
4672/tcp closed rfa
6346/tcp closed gnutella
6347/tcp closed gnutella2
6699/tcp closed napster
6881/tcp closed bittorent-tracker

Bref je sais pas trop si ça craint... en tout cas je sais pas à quoi correspondent tous ces ports sauf les ports : 20,21,80 ... normalement pour amule j'ai ouvert les ports 4642 et 4672 pourquoi apparaissent t'ils fermés?
Peut t'on continuer à faire tourner un serveur web http et un serveur ftp en cachant les ports 21 et 80 ?

CasseTaTele · Le 22/02/2007, à 15:24

J'ai enfin eu le temps de tester ça marche !
merci beaucoup [Gx]Dimos !

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 30/01/2007, à 11:05

[résolu] Mode passif avec pure-ftp

#2 Le 30/01/2007, à 19:59

Re : [résolu] Mode passif avec pure-ftp

#3 Le 30/01/2007, à 20:20

Re : [résolu] Mode passif avec pure-ftp

#4 Le 30/01/2007, à 20:44

Re : [résolu] Mode passif avec pure-ftp

#5 Le 03/02/2007, à 11:22

Re : [résolu] Mode passif avec pure-ftp

#6 Le 03/02/2007, à 12:52

Re : [résolu] Mode passif avec pure-ftp

#7 Le 03/02/2007, à 13:25

Re : [résolu] Mode passif avec pure-ftp

#8 Le 03/02/2007, à 14:07

Re : [résolu] Mode passif avec pure-ftp

#9 Le 04/02/2007, à 21:46

Re : [résolu] Mode passif avec pure-ftp

#10 Le 05/02/2007, à 15:12

Re : [résolu] Mode passif avec pure-ftp

#11 Le 22/02/2007, à 15:24

Re : [résolu] Mode passif avec pure-ftp

Pied de page des forums