FTP passive sur icotera

Fred1 · 10 Décembre 2016 à 20:34:12

Le ping6 est ok.
Par contre http://ipv6-test.com/ me renvoie un score de 17/20 car pas de hostname sur l'ipv6.
A priori l'ipv6 indiquée sur le panel de la kbox ne convient pas au champ AAA de mon nom de domaine.
Je vais tenter avec l'ipv6 affichée par ipv6-test.com
A voir si cela solutionne mon pb après propagration des DNS...

Fred

Hugues · 10 Décembre 2016 à 21:13:50

Attention, un AAAA n'est pas un reverse DNS ! Pour ça c'est un PTR et il faut avoir des serveurs de nom, tout ça tout ça

Fred1 · 11 Décembre 2016 à 19:18:33

Je mélange effectivement les choses ;(
J'ai bien modifié le reverse DNS pour qu'il pointe vers mon nom de domaine via caps.services mais à priori il ne concerne que l'ipv4 et pas l'ipv6.

Avec https://ftptest.net, voici ce que j'obtiens en lançant une connexion FTP port 21 via mon nom de domaine comme host :
Warning: While the entered hostname resolves to an IPv6 address, the connection could not be established using the IPv6 address. -> normal à priori puisque pas de reverse
Status: Data connection established.
Reply: 150 Ouverture d'une connexion de données en mode BINARY pour MLSD
Error: Malformed directory listing
Error: Line feed received without preceding carriage return

Malgré les 2 dernières erreurs, la connexion passe.

Sur un serveur distant, je tente d'accéder à mon raspberry qui est branché sur la kboxV2 par mon nom de domaine :
ncftp -u user monnomdedomaine -> nickel ça marche

par contre pour le sftp et ssh, ça merdouille encore : la connexion avec l'adresse ip fonctionne sans pb alors que la connexion avec le nom de domaine mets un petit moment avant de s'enclencher (elle finit tout de même par fonctionner...). Encore un pb avec mon ipv6 non ?

Fred

Hugues · 12 Décembre 2016 à 14:19:30

Citation de: Fred1 le 11 Décembre 2016 à 19:18:33
Warning: While the entered hostname resolves to an IPv6 address, the connection could not be established using the IPv6 address. -> normal à priori puisque pas de reverse

J'ai pas compris, pourquoi aurais-tu besoin d'un reverse pour te connecter ?

Fred1 · 12 Décembre 2016 à 14:33:58

Moi non plus je ne comprends pas ;(
La lenteur de la connexion semble provenir du fait que c'est l'adresse ipv6 associée à mon nom de domaine qui pose pb et qui se résous après en se connectant sur l'ipv4 après automatiquement :

Status: Resolving address of monsous.domaine.fr
Lors de la connexion FTP,
Status: Connecting to 2a03:4980::13:0:42a

Error: Connection attempt timed out
Status: Connecting to 185.45.33.68

Warning: While the entered hostname resolves to an IPv6 address, the connection could not be established using the IPv6 address.

Tout marchait nickel avec la kbox1 ;((

Fred

Hugues · 12 Décembre 2016 à 14:53:12

Ton service FTP n'écoute pas sur cette adresse IPv6. Voir même pas en IPv6 tout court ^^

Fred1 · 12 Décembre 2016 à 16:43:38

J'ai pourtant bien mis à on dans proftpd.conf
UseIPv6 on

et vérifié que mon raspberry tournait bien en ipv6. Un ifconfig m'affiche bien une ipv6 :

Code Sélectionner

eth0      Link encap:Ethernet  HWaddr b8:27:eb:db:f8:fe
          inet adr:192.168.1.12  Bcast:192.168.1.255  Masque:255.255.255.0
          adr inet6: fe80::7a55:e3ee:9df0:86fe/64 Scope:Lien
          adr inet6: 2a03:4980:1d:c200:5fdc:ea39:3c2:a151/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:8648560 errors:2 dropped:1 overruns:0 frame:2
          TX packets:4785212 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:2564652512 (2.3 GiB)  TX bytes:860568515 (820.7 MiB)

Par contre, je ne fais pas de redirection de port ipv6 sur la kbox car à priori pas possible. Ce serait là le pb ?

FRed

Hugues · 12 Décembre 2016 à 17:57:36

Je vois bien un FTP sur cette IP, mais ce n'est pas celle que tu as mise en AAAA !

[hugues@atlantis:~] ftp 2a03:4980:1d:c200:5fdc:ea39:3c2:a151
Connected to 2a03:4980:1d:c200:5fdc:ea39:3c2:a151.
220 Serveur FTP 185.45.33.68 prêt

Hugues · 12 Décembre 2016 à 18:00:14

Par contre attention, tu parles de redirection de ports. Mais en IPV6 justement, il n'y a pas de notion de redirection de ports en v6, parce que tu as des millions d'adresses disponibles. Tu n'aurais pas mis l'IPv6 de ta box en AAAA ?

Fred1 · 12 Décembre 2016 à 18:12:02

Bien vu, j'avais effectivement mis l'ipv6 de la box.
Je viens de remplacer par l'ipv6 du raspberry et ça fonctionne nickel !
Je prends note qu'il n'y a pas besoin d'ouvrir de ports par contre, je ne comprends pas comment peut se faire la liaison entre le nom de domaine et l'ipv6 du raspberry qui est derrière la box...
Il va falloir que je me documente sur l'ipv6

Merci
Fred

Hugues · 12 Décembre 2016 à 22:26:59

En IPv6, toutes tes IP sont publiques et accessibles de n'importe où en gros.

Fred1 · 12 Décembre 2016 à 22:32:13

Du coup pour en revenir à mon problème initial de redirection, plus besoin d'ouvrir de port 21, ports passifs, 22... avec ipv6.
C'est bon ça

Par contre côté sécurité je ne sais pas comment cela se gère. J'utilisais fail2ban mais il ne fonctionne qu'en ip4...

J'en ai appris des choses grâce à la vbox2

Fred

Hugues · 13 Décembre 2016 à 08:03:58

Fail2Ban peut fonctionner en IPv6 il me semble.. Après il faut déjà arriver à trouver ton adresse IP, vu le nombre

Fred1 · 13 Décembre 2016 à 08:51:37

On peut effectivement patcher fail2ban mais pas testé.
L'ipv6 qui est attachée à un nom de domaine est facilement identifiable via host par exemple.

Fred

Rechercher