Koozali.org: home of the SME Server

Other Languages => Français => Topic started by: kankan on September 14, 2007, 01:29:42 AM

Title: Serveur FTP derriere SME / Negociation entre clients derriere routeurs
Post by: kankan on September 14, 2007, 01:29:42 AM

Chers amis contributeurs,

Ce n'est pas une heure pour poster mais ma soif de connaissance me pousse a prendre le clavier pour demander l'avis des spécialistes d'iptables qui lisent ce forum, car je pense que mon problème se situe à ce niveau.

Le scénario est le suivant:

J'ai configuré un serveur de fichier avec Filezilla Serveur (accessible en FTP) sur un poste Win XP SP2 derrière ma passerelle SME 7.2 toute neuve et toute brillante.
Afin de "bypasser" le serveur FTP du SME accessible en IP Publique, j'ai configuré le serveur Filezilla afin d'écouter les requêtes sur le port 15012 et j'ai créé sur le SME une règle de suivi de port en TCP afin de transmettre les requêtes vers l'IP Privée hébergeant le serveur Filezilla.

Il en résulte que certains utilisateurs arrivent a se connecter sur le serveur et a travailller dessus et d'autres non.
J'ai remarqué que les utilisateurs arrivant a se connecter sont connectés directement sur Internet (cad Client FTP possédant une IP publique) et que les personnes situées derrière une passerelle/routeur obtenaient une erreur '425 Can't open data connection'

Je pense à une réelle difficulté de la part de SME et des autres routeurs a dialoguer ensemble mais mes maigres connaissances en table de routage limitent ma compréhension.

Je me suis rendu dans les logs de SME et notamment celles concernant le service Iptables ou j'ai vu les lignes suivantes:

2007-09-14 00:46:08.137343500 Sep 14 00:46:08 machine denylog: IN=eth1 OUT= MAC=00:10:18:27:a9:f7:00:07:xx:xx:xx:xx:xx:xx  SRC=82.225.xxx.xx DST=82.67.xxx.xxx LEN=60 TOS=00 PREC=0x00 TTL=56 ID=52743 CE DF PROTO=TCP SPT=57252 DPT=2401 SEQ=3758597723 ACK=0 WINDOW=5840 SYN URGP=0
2007-09-14 00:46:13.693389500 Sep 14 00:46:13 machine denylog: IN=eth1 OUT= MAC=00:10:18:27:a9:f7:00:07:xx:xx:xx:xx:xx:xx  SRC=82.225.xxx.xx DST=82.67.xxx.xxx LEN=60 TOS=00 PREC=0x00 TTL=56 ID=9406 DF PROTO=TCP SPT=37589 DPT=2400 SEQ=3747627871 ACK=0 WINDOW=5840 SYN URGP=0
2007-09-14 00:46:19.143518500 Sep 14 00:46:19 machine denylog: IN=eth1 OUT= MAC=00:10:18:27:a9:f7:00:07:xx:xx:xx:xx:xx:xx  SRC=82.225.xxx.xx DST=82.67.xxx.xxx LEN=60 TOS=00 PREC=0x00 TTL=56 ID=44221 CE DF PROTO=TCP SPT=56687 DPT=2418 SEQ=3761822018 ACK=0 WINDOW=5840 SYN URGP=0

A chacune des requêtes j'ai l'impression que SME "renvoit" les datas sur un port aléatoire que le routeur distant ne sait pas interpréter (car différent du port utilisé lors de l'émission de la requête.
Cette interprétation est elle correcte? Merci de vos avis et solutions proposées.

Kankan

Title: Re: Serveur FTP derriere SME / Negociation entre clients derriere routeurs
Post by: mmccarn on September 14, 2007, 06:33:11 AM

C'est un question de FTP 'Active' ou 'Passive'.

En mode 'Passive', ftp marche comme ca:

1: Le client connect au serveur avec ftp (TCP / UDP port 21 d'habitude)
2: Le serveur choisis un port choisis par hazard plus haut que 1024, et ouvre une nouvelle connection avec le client
3: ca marche

En mode 'Active', ftp marche comme ca:
1: Le client connect au server avec ftp (TCP / UDP port 21 d'habitude)
2: Quand le connection a ete negocier, le client ouvre un deuxieme connection vers le server qui utilise le premier port moins un (d'habitude 20)

Les clients derrieres les autre passerelle ne peuvent pas utiliser le FTP 'Passive' sans que la passerelle elle-meme reconnait que c'est question d'FTP.

Essayez de trouvez un client FTP qui utilize le mode 'Active'...

Ou bien, essayez de metre votre 'Filezilla' sur port 21 au lieu de 15012 afin d'aider les passerelles remotes a soupconner que ca s'agit d'FTP...

Title: Re: Serveur FTP derriere SME / Negociation entre clients derriere routeurs
Post by: kankan on September 15, 2007, 12:05:08 PM

Merci mmccarn pour votre réponse.

Je souhaiterai garder le port 21 pour le serveur FTP accessible directement sur le SME car des services présents dessus sont accessibles par des utilisateurs.
D'autre part, coté client, j'ai tésté les mode Passifs et Actifs, mais rien ne passe. Apparemment SME n'arrive pas a dialoguer avec les autres machines situées derriere un routeur (pb de négociation de port > à 1024 effectivement.)

Si vous avez 5 min, je vous communique un compte pour tester de votre coté par Messagerie Privée.

Merci

Title: Re: Serveur FTP derriere SME / Negociation entre clients derriere routeurs
Post by: mmccarn on September 15, 2007, 04:52:21 PM

OK - Je me suis tromper completement... 

Voice un explication (en anglais) de la protocole FTP: http://slacksite.com/other/ftp.html (et voici  traduit en francais par babelfish (http://babelfish.altavista.com/babelfish/trurl_pagecontent?lp=en_fr&url=http%3A%2F%2Fslacksite.com%2Fother%2Fftp.html)))

Selon la documentation pour Filezilla Serveur: Passive_mode_2 (http://filezilla-project.org/wiki/index.php/Network_Configuration#Passive_mode_2) (et en Francais (http://babelfish.altavista.com/babelfish/trurl_pagecontent?lp=en_fr&url=http%3A%2F%2Ffilezilla-project.org%2Fwiki%2Findex.php%2FNetwork_Configuration#Passive_mode_2)) vous devez (pour supporter la mode 'Passive'):

• Configurer FileZilla Serveur avec l'IP exterieur du SME
• Configurer le 'Custom Port Range' de FileZilla Serveur
• Configurer SME avec une règle de suivi pour le 'Custom Port Range'

Si vous voulez supporter la mode Active il faut configurer des regles de suivi chez chacun de vos clients par ce que vous n'employez pas le port habituel de FTP (21) et les passerelles des client ne vont pas reconnaitre le ftp automatiquement pour laisser passer la connection 'Data'