Commentaires sur : Falling back to PORT instead of PASV mode http://michauko.org/blog/2008/10/14/falling-back-to-port-instead-of-pasv-mode/ Si tu ne comprends pas le titre de l'article, passe ton chemin Mon, 09 Jan 2012 06:57:32 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Par : michauko http://michauko.org/blog/2008/10/14/falling-back-to-port-instead-of-pasv-mode/comment-page-1/#comment-845 michauko Thu, 16 Oct 2008 07:56:28 +0000 http://michauko.org/blog/?p=162#comment-845 Oui bien sûr qu'on ouvre les 2 ports. D'ailleurs avec shorewall un peu récent, la règle s'écrit maintenant : FTP/ACCEPT net:une_ip fw Et ça ouvre comme il faut le 20 et 21. Quand bien même, le mode passif, c'est chiant. Et certains clients FTP tentent l'actif puis le timeout est long avant de passer en passif. En n'oubliant pas le module de NAT FTP, on se simplifie la vie Oui bien sûr qu’on ouvre les 2 ports. D’ailleurs avec shorewall un peu récent, la règle s’écrit maintenant :
FTP/ACCEPT net:une_ip fw
Et ça ouvre comme il faut le 20 et 21.

Quand bien même, le mode passif, c’est chiant. Et certains clients FTP tentent l’actif puis le timeout est long avant de passer en passif.
En n’oubliant pas le module de NAT FTP, on se simplifie la vie

]]> Par : mangouste06 http://michauko.org/blog/2008/10/14/falling-back-to-port-instead-of-pasv-mode/comment-page-1/#comment-844 mangouste06 Thu, 16 Oct 2008 04:49:23 +0000 http://michauko.org/blog/?p=162#comment-844 par ailleurs, je recommande de passer aux solution basees sur ssh (sftp, scp), qui ont plein d'avantages : - [deja dit] securite du login/motdepasse - on peut faire du transfert serveur1 - serveur2 direct depuis son poste. - le flux de donnees lui-meme est crypte. pas d'oreilles indiscretes. si vous voulez sortir les sources du logiciel que vous developpez ... - par la possibilite de faire simplement des redirections de port. a partir de la seule machine accessible sur le net, on peut acceder aux services d'autres serveurs. G. par ailleurs, je recommande de passer aux solution basees sur ssh (sftp, scp), qui ont plein d’avantages :

– [deja dit] securite du login/motdepasse
– on peut faire du transfert serveur1 – serveur2 direct depuis son poste.
– le flux de donnees lui-meme est crypte. pas d’oreilles indiscretes. si vous voulez sortir les sources du logiciel que vous developpez …
– par la possibilite de faire simplement des redirections de port. a partir de la seule machine accessible sur le net, on peut acceder aux services d’autres serveurs.

G.

]]> Par : mangouste06 http://michauko.org/blog/2008/10/14/falling-back-to-port-instead-of-pasv-mode/comment-page-1/#comment-843 mangouste06 Thu, 16 Oct 2008 04:32:55 +0000 http://michauko.org/blog/?p=162#comment-843 C'est pas pour rien qu'il y a deux ports dasn le ftp standard ... Toutes les communications se font en tcp. Le premier port est le port de commande. Il est ouvert par le client FTP. En cas de NATage, pas de soucis, donc. Le deuxieme est le port data. Et c'est la que les soucis commencent. Il est ouvert par le serveur ... C'est pour contourner ces soucis que les modules conntrack ont ete ecrits. Mais faut avoir acces au firewall. Et que ce soit un linux. Le mode passif fait passer les data dans le canal commande. Pas de soucis, normalement. Mais de la lenteur ... Evidemment, je ne peut me dispenser du petit RTFM de rigueur : 'je vous invite a lire le RFC quivabien (il est simple avec pleins de schema ascii).' G. C’est pas pour rien qu’il y a deux ports dasn le ftp standard …

Toutes les communications se font en tcp.

Le premier port est le port de commande. Il est ouvert par le client FTP. En cas de NATage, pas de soucis, donc.

Le deuxieme est le port data. Et c’est la que les soucis commencent. Il est ouvert par le serveur …

C’est pour contourner ces soucis que les modules conntrack ont ete ecrits. Mais faut avoir acces au firewall. Et que ce soit un linux.

Le mode passif fait passer les data dans le canal commande. Pas de soucis, normalement. Mais de la lenteur …

Evidemment, je ne peut me dispenser du petit RTFM de rigueur : ‘je vous invite a lire le RFC quivabien (il est simple avec pleins de schema ascii).’

G.

]]> Par : Dup http://michauko.org/blog/2008/10/14/falling-back-to-port-instead-of-pasv-mode/comment-page-1/#comment-842 Dup Tue, 14 Oct 2008 19:46:23 +0000 http://michauko.org/blog/?p=162#comment-842 Euh pas d'accord, si ce n'est pour la connexion qui a une syntaxe ssh, une fois connecté les commandes ftp sont de rigueurs, put, get, ls, cd, etc Mais on est pas pret de se passer du bon vieux ftp ;) Euh pas d’accord, si ce n’est pour la connexion qui a une syntaxe ssh, une fois connecté les commandes ftp sont de rigueurs, put, get, ls, cd, etc

Mais on est pas pret de se passer du bon vieux ftp ;)

]]> Par : michauko http://michauko.org/blog/2008/10/14/falling-back-to-port-instead-of-pasv-mode/comment-page-1/#comment-841 michauko Tue, 14 Oct 2008 19:02:25 +0000 http://michauko.org/blog/?p=162#comment-841 ben voui, c'est un peu ce que j'ai écrit En attendant, ça reste fondamentalement différent et généralement, les gens sauront faire du FTP et pas nécessairement du SFTP ben voui, c’est un peu ce que j’ai écrit
En attendant, ça reste fondamentalement différent et généralement, les gens sauront faire du FTP et pas nécessairement du SFTP

]]> Par : Dup http://michauko.org/blog/2008/10/14/falling-back-to-port-instead-of-pasv-mode/comment-page-1/#comment-840 Dup Tue, 14 Oct 2008 18:46:07 +0000 http://michauko.org/blog/?p=162#comment-840 Euh sinon tu peux aussi faire du sftp ce qui est beaucoup plus simple au niveau firewall. Mais d'accord avec toi la multitude de port et l'utilisation de TCP/UDP du protocole FTP rend son suivi difficile. Euh sinon tu peux aussi faire du sftp ce qui est beaucoup plus simple au niveau firewall.

Mais d’accord avec toi la multitude de port et l’utilisation de TCP/UDP du protocole FTP rend son suivi difficile.

]]>