Connexion FTP OK mais je ne comprends pas pourquoi …



  • Bonjour à tous,

    C'est ça l'expérience, ça fonctionne mais on ne sait pas pourquoi …  :)

    Donc en DMZ j'ai configuré un serveur FTP en mode passif et j'ai fixé une plage de ports pour le transfert des datas. Je précise que le logiciel serveur est Filezilla sur Windows 2008 (personne n'est parfait).

    Sur le PFSense (v2.0) j'ai ajouté une règle de NAT qui redirige tout ce qui arrive sur l'interface WAN à destination du port 21 vers mon serveur FTP.

    Depuis l'extérieur je fais un essai et là, surprise, ça fonctionne : connexion, transfert, tout ... alors que je n'ai fait aucune règle pour les ports affectés aux datas ???

    Pour tenter de comprendre un petit coup de tcpdump, je vois bien les connexions depuis l'extérieur vers mes ports datas redirigées vers le serveur FTP sans que je n'ai rien eu à faire !

    Si quelqu'un a la bonté de me donner une petite explication ça rajoutera de la connaissance à l'expérience ...

    Merci d'avance et bon travail à tous.



  • Bonjour Bernard,
    Ton client initie la connexion sur le port 21, mais ensuite ton serveur FTP lui dit sur quels plage de ports va se passer la suite (c'est le mode Passif).
    Donc tu n'a pas besoin d'ouvrir des ports pour la suite du transfert. T'as tout là : http://fr.wikipedia.org/wiki/File_Transfer_Protocol

    Cdt,
    E.R.



  • Bonjour et merci de vos avis,

    Je suis bien d'accord avec toi. Une fois la connexion établie sur le port 21 mon serveur FTP indique au client que le port pour la data est, par exemple, le 54321. Le client va donc établir sa connexion vers ce port sur le serveur or je ne l'ai pas ouvert, c'est là que je ne comprends pas pourquoi ça passe quand même.

    Merci d'avance de votre aide et bon travail à tous.



  • Il y a un "proxy helper" qui assure ce boulot !

    Certains protocoles (qui changent de port) étant connus, il a été mis au point des modules de suivi de la connexion capables d'ouvrir les ports utiles.

    (Sous Linux/Netfilter/Iptables, il y a conntrack_ftp)



  • Merci à tous de vos lumières.


Log in to reply