Discussion :

[razbitume]

Bonjour,

Je cherche à configurer mon serveur proFTPd sur un autre port que le 21 pour en sécuriser l'accès.

J'ai effectué la modification dans /etc/proftpd/proftpd.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
#Port                            21
Port                            10000

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
sudo /etc/init.d/proftpd reload
sudo /etc/init.d/xinetd restart

Mais quand j'essaye de me connecter avec mon client FTP sur le port 10000 j'obtiens le message "Statut : Connexion sur XXX.XX.XX.XX:10000... Erreur : Connexion au serveur impossible !"

J'ai donc essayé en désactivant complètement le firewall, mais le résultat reste identique, sauf si je tente de me connecter sur le port 21...

Il semble que la directive "Port 10000" n'est pas prise en compte, malgré le redémarrage de proFTPd, il n'écoute apparemment pas sur le port 10000, mais toujours sur le 21, ce que je ne veux pas.

J'ai également fait l'essai en décommentant dans /etc/proftpd/proftpd.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
PassivePorts                    54000 54100
MasqueradeAddress               ip_du_serveur

Mais sans plus de succès.

Quelqu'un a une idée de ce qui empêche proFTPd d'écouter sur le port que je lui indique ?

[Anomaly]

Je ne connais pas proftpd (seulement vsftpd) ni xinetd (seulement inetd) mais si ton logiciel FTP est lancé par xinetd, alors c'est xinetd qui écoute le port, pas proftpd. Si proftpd possède un réglage de port, c'est pour un fonctionnement autonome (sans xinetd). Donc si proftpd est lancé par xinetd, c'est xinetd qu'il faut configurer.

[razbitume]

Bien vu !
Et comme xinetd se base sur le fichier /etc/services si rien n'est spécifié pour déterminer le port à utiliser, il m'a suffit de modifier les lignes ftp pour que l'écoute se fasse sur le bon port.

Cependant, je n'arrive toujours pas à me connecter en FTP La connexion se fait bien, puis il s'arrête à la commande LIST du répertoire et renvoie :
Commande : LIST
Erreur : Délai d'attente expiré
Erreur : Échec à la lecture du contenu du répertoire

J'ai rouvert le firewall, et là je rentre...
Il faut vraisemblablement que j'ouvre les ports passifs 54000 à 54100 pour que le client FTP sache sur quel port se connecter. Mais je ne vais quand même pas ouvrir 100 ports en permanence ??

Comment faut-il faire ?

[ram-0000]

Le canal de données de FTP se fait traditionnelement sur le port 20. De plus, il y a 2 mode de fonctionnement du protocole, le mode actif et le mode passif.

Je t'engage à lire la RFC FTP afin de bien comprendre les différences de ces 2 modes car elles ont un impact sur le filtrage fait par le firewall.

[razbitume]

Bonsoir,

Justement, pour éviter l'écoute par défaut sur le port 20, j'ai configuré en mode passif mon client FTP et dans /etc/proftpd/proftpd.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
PassivePorts                    54000 54100
MasqueradeAddress               ip_du_serveur

Pour permettre l'écoute sur les ports passifs.
J'ai bien lu la RFC, mais je n'y ai rien trouvé sur la façon de configurer le firewall quand on est en mode passif FTP...

Dans le fichier /etc/services, j'ai changé le port du ftp-data :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ftp-data        9999/tcp

A ton avis, ce n'est pas suffisant pour forcer l'écoute sur ce port ?
Peux-tu stp éclairer ma lanterne, je n'arrive pas à trouver de réponse claire malgré mes recherches ?

[razbitume]

Je continue mes recherches, et le problème vient bien du firewall, qu'il faut autoriser à écouter sur les ports passifs.

J'ai trouvé des réponses qui indiquent qu'il faut autoriser les connexions sur ces high_ports s'ils sont RELATED ou ESTABLISHED, pour ne pas les laisser à l'écoute en permanence. J'ai exécuté les règles de filtrage correspondantes, mais ça ne marche toujours pas, le client FTP se connecte mais ne liste pas le contenu du répertoire :

Erreur : Délai d'attente expiré
Erreur : Échec à la lecture du contenu du répertoire

Voici les commandes exécutées :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A FORWARD -i ppp0 -o eth1 -p tcp --sport 1024: --dport 54000:54100 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -p tcp --sport 54000:54100 --dport 1024: -m state --state ESTABLISHED -j ACCEPT

Peut-être faut-il aussi configurer la NAT pour que l'ensemble fonctionne de concert ?