FTP passive sur icotera

Démarré par Fred1, 08 Décembre 2016 à 22:56:04

« précédent - suivant »

0 Membres et 4 Invités sur ce sujet

Bonjour,

Depuis la migration vers la box2, je rencontre des soucis pour mes connexions FTP vers mon raspberry (via proftpd).
Le port 21  est pourtant bien ouvert sur ma box.
Cela passait bien avec la box1... Y a de nouveaux paramétrages à faire sur l'icotera ?
La connexion FTP fonctionne bien en local par contre..
Merci

Fred

Tu as essayé en sftp ?

C'est quand meme mieux...

Salut,

Avec l'icotera pour les connexion FTP en mode passif il faut rédiger les ports passif, en mode actif normalement tu ne doit pas avoir de problème.

Autrement je suis du même avis que @enthanal, sftp c'est bien mieux :)

bonjour,

le sftp demande un compte user sur la machine, le "ftp" un user qui peux être virtuel

le ftp actif les port 21 et 20 sont ouvert vers l'exterieur (le control channel 21 et le data channel 20 attendent les connexions)

le ftp en mode passif tu ouvres un range de port de ton serveur ftp, tu défini ce range dans la conf de ton serveur  et seul le 21 est ouvert vers l'extérieur (input) le data channel enverra la data par ce range de port vers TON client sur le port que TON client aura imposé par le control channel

Perso en FTP et en SFTP, je crée un user PAM systématiquement, après je comprends que ça puisse embêter certains.

et pour les bon gros barbu il y a glftpd (ou ton daemon tourne dans une jail ) une fois de plus tout est question de besoin, de temps, de connaissance, d'envie ....

Sur mes infras, le FTP c'est vraiment du "legacy" destiné aux hébergements mutualisés de Wordpress (qui demande un FTP pour les MàJ), sinon je motive mes utilisateurs à passer à SFTP :)

Merci de vos réponses, je vais étudier cela.
Par contre je ne m'explique pas pourquoi tout fonctionnait avec la kboxV1 et que cela pose maintenant pb avec la kboxV2..
Je n'ai rien changé de la config de proftpd et j'ai bien redirigé mon port 21.
Le ftp passif passe bien en local mais plus en distant...

Fred

Il y'a d'autres ports à ouvrir en passif, dans ton proftpd tu alloues une plage pour ça il me semble.

C'est ce que j'ai fait en activant la ligne :
PassivePorts                  49152 65534
(qui était désactivé jusqu'à présent alors que tout fonctionnait)
mais cela ne change rien ;((

Fred

Citation de: Fred1 le 10 Décembre 2016 à 01:06:28
Par contre je ne m'explique pas pourquoi tout fonctionnait avec la kboxV1 et que cela pose maintenant pb avec la kboxV2..

C'est une régression par rapport à la kboxv1 (netgear), k-net est au courant, j'ai longtemps discuté de ça avec Anthony. Sur la kboxV2 il faut en plus forward les ports passif + réglé dans ton proftpd "MasqueradeAddress" ou/et utiliser ipv6 ;)

Et on peut rediriger un range de ports ?
J'ai essayé un tiret 3000-31000 mais ça ne passe pas...
Fred

Citation de: Fred1 le 10 Décembre 2016 à 12:17:58
Et on peut rediriger un range de ports ?
J'ai essayé un tiret 3000-31000 mais ça ne passe pas...
Fred
Dans le panel mette 3000:31000 ?

Nickel, merci à vous.
En ajoutant dans le proftpd.conf :
MasqueradeAddress       monip
PassivePorts 60000 65535
et en ouvrant le range de ports 60000-65535 sur la kbox2 ça roule.

C'est pas gênant côté sécurité d'ouvrir tout ces ports ?
Comment se fait-il qu'avant ce n'était pas nécessaire ? C'était à l'arrivée sur le port 21 que la redirection se faisait ?

J'ai l'ipv6 d'activé.
Quand je tente de me connecter en ftp via mon nom de domaine qui pointe vers mon ip interne (ipv4 en A et ipv6 en AAA), cela ne passe pas.
J'ai pourtant bien récupéré l'ipv6 qui s'affiche dans le panel de la kbox...

Encore une astuce pour que cela fonctionne ?

On trouve quelque part un récapitulatif des différences de paramétrages à opérer lors de la migration ? Les utilisateurs gagneraient du temps ;((

Merci
Fred

Citation de: Fred1 le 10 Décembre 2016 à 13:50:16
C'est pas gênant côté sécurité d'ouvrir tout ces ports ?

Non, tu n'as pas plus de risque que de forward que le port 21

Citation de: Fred1 le 10 Décembre 2016 à 13:50:16
Comment se fait-il qu'avant ce n'était pas nécessaire ? C'était à l'arrivée sur le port 21 que la redirection se faisait ?

Je pense que sur l'icotera il n'y a pas les modules ip_conntrack_ftp et ip_nat_ftp (ouverture dynamique des ports nécessaires en fonction des échanges FTP sur le canal de commande et "masquerading" des adresses IP et des ports dans ces échanges). Icotera a dit à Anthony que ces modules sont bien activé mais je pense que non,il faut que je fasse des tests pour être sur de ça.

Citation de: Fred1 le 10 Décembre 2016 à 13:50:16
Quand je tente de me connecter en ftp via mon nom de domaine qui pointe vers mon ip interne (ipv4 en A et ipv6 en AAAA), cela ne passe pas.
J'ai pourtant bien récupéré l'ipv6 qui s'affiche dans le panel de la kbox...

si tu ping6 sur ton fqdn, ça répond bien ?
Il faut que ton client soit aussi en ipv6 pour que ça fonctionne.

Citation de: Fred1 le 10 Décembre 2016 à 13:50:16
On trouve quelque part un récapitulatif des différences de paramétrages à opérer lors de la migration ? Les utilisateurs gagneraient du temps ;((

Non malheureusement ces routeurs sont destinés à messieurs et à madame Michu