著者: Yves Perrey 日付: To: guilde 題目: Re: Ftp et Firewall
Salut,
Bornand Alexandre wrote: >
> Hello,
>
> J'ai un firewall Linux qui fait que de ip-masquerading.
> Lorsque je me connecte avec un client de l'intérieur à l'extérieur, en ftp
> je n'arrive pas à voir le contenu du répertoire.
Ton port de donnees est bloque pour le mode ftp utilise sur le FW.
A noter que le client ftp basique Linux supporte le mode normal ou
passif avec la bascule passive. (ftp> passive)
Voir plus bas pour une tentative de description de "comment ca marche"
;)
> lorsque je veux downloader quelquechose il me dit could not logged in.
> et pourtant si je vais depuis le FW ça marche.
> mail, http, icq fonctionne à merveille.
>
> merci de vos réponses
FTP existe en 2 modes :
normal et passif.
FTP utilise 2 ports quelquesoient les modes utilises :
cote client : 2 ports >= 1024
cote serveur : dans tous les cas, le port 21, port de commande et pour
le second port, de donnees, c'est selon le mode.
Le sens d'etablissement de la connexion donnees diverge aussi suivant
les modes.
Principe general :
FTP normal :
- le client s'alloue 2 ports >= 1024, un pour le port de commande, un
pour le port de donnees.
- le client ouvre un canal de commande vers le serveur (port 21) et
passe alors au serveur le numero de port de donnees qu'il a reserve
localement.
- si tout se passe bien, le serveur ouvre un canal de donnees du port 21
vers le port donnees convenu.
Attention, c'est bien le serveur qui ouvre la connexion donnees vers
le client, pas le contraire.
FTP passif :
- le client s'alloue 2 ports >= 1024, un pour le port de commande, un
pour le port de donnees (comme en mode normal).
- le client ouvre un canal de commande vers le serveur (port 21) et
passe alors au serveur le numero de port de donnees (>= 1024) qu'il va
utiliser sur le SERVEUR en indiquant qu'il veut travailler en mode
passif. Le port 20 sur le serveur ne sera pas utilise pour les donnees.
Ce sera celui qui a ete indique a la connexion.
- si tout se passe bien, le client ouvre un canal de donnees de son port
de donnees local >= 1024 vers le port qu'il a precedement indique au
serveur, port lui aussi >= 1024.
Je ne suis pas tres sur que l'enonce soit bien clair. Quoiqu'il en soit,
une reference utile pour ce genre de bidouilles :
La sécurité sur Internet
Firewalls
D. Brent Chapman, Elizabeth D. Zwicky
Editions O'Reilly International Thomson
ISBN : 2-84177-018-4
Il est en francais, je ne suis pas sur d'ailleurs qu'il soit exempt
d'erreurs, voir la version US...
Il est aussi a mon avis bon de bien connaitre TCP, UDP et IP pour en
tirer parti et mettre en oeuvre le firewall :)