FTP : autre port de control

par **dbomber** » 27 Août 2003 12:29

Bon, j'ai mis en place un serveur FTP. J'ai essayé avec des amis et avec le port 21, ça marche nickel. Par contre, je voudrais utiliser un autre port de control que le port 21. Il est possible de le configurer sur mon serveur (Typsoft serveur FTP) et dans le forwarding de mon icpop (1.3 avec les 3 fix). Mais cela ne marche pas. Est ce que quelqu'un aurait un idée? Question béte : il sert à quoi le port 20? PS : ne dite pas: "ben si ça marche sur le port 21, pourquoi utiliser un autre port?". Et ben, c'est tout simplement parce que le port 21 est trop connu (piratage et compagnie) alors comme le serveur est destiné à des amis seulement j'aimerais utiliser un autre port.

par **tomtom** » 27 Août 2003 13:07

Le port 20 sert à la connetion data du ftp. J'espère que tu n'as pas mis ton ftp sur celui là sinon ca risque pas de marcher.... Sinon, il n'y a pas de rtaison que ça ne fonctionne pas.... Verifie ton transfert de ports... Sinon une autre solution consiste à laisser ton serveur ecouter sur le port 21, mais à configurer le transfert avec le nouveau port en source, et le port 21 en destination. Ainsi, tes clients accedent sur le nouveau port, mais tu n'as pas de pbmes de config... T.

par **dbomber** » 27 Août 2003 13:16

en fait je pense que c'est ipcop qui $%#&!, parce que j'ai essayé un forwarde du 21 vers un autre port sur mon serveur FTP en le configurant convenablement et ça marche. Donc le client ne peut pas "attaquer" ipcop pour le ftp sur un port différent du 21. Je trouve ça vraiment bizarre. Pour le port 20, non, je ne l'utilise pas, mais il me semblait l'avoir vu quelque part et comme je le forwardais pas, je me suis posé la question....

par **tomtom** » 27 Août 2003 13:23

HA oui j'ai pigé <IMG SRC="images/smiles/icon_wink.gif"> En fait IPTables utilise les "conntracks" pour ouvrir automatiquement le port correspondant à le session data du ftp. Les paquets arrivent donc en etat RELATED, ce qui fait que IPCop les laisse passer. Le problème c'est qu'apparemment, il ne sais voir la session related (à l'aide du helper ftp) que si on utilise le port 21, et donc là la connexion client de data ne parvient pas à se connecter. Il fut que tu configures le client pour faire du mode passif pour que cela fonctionne ! T.

par **dbomber** » 27 Août 2003 13:37

j'ai pas tout saisi..... <IMG SRC="images/smiles/icon_confused.gif"> D'abord, le client était en passif puisqu'il est dérriére un firewall et que sinon, ça passe pas. Ensuite, d'aprés ce que tu dis, ipcop est configuré pour "aider" le ftp que s'il est sur le port 21 (grace au helper ftp (c'est quoi ça?)). Je me doutais un peu de ce genre de chose. Donc il est théoriquement possible de faire la meme chose sur un autre port, non? Déja, c'est quoi l'helper ftp? Ensuite comment on peut le configurer?

par **tomtom** » 27 Août 2003 13:55

Je ne sais pas vraiment si ca peut se configurer, c'est integré dans netfilter.... Les helper permettent d'ouvrir dynamiquement des ports. Je m'explique : Ton pote ouver une connexion tcp d'un port source choisi au hasard vers un port destination : 21 un paquet tcp arrive donc : ip source : ton pote port source : 10000 ip dest : ton ip red port destination : 21 il est transferé par le firewall vers ton server (changement d'adresse destination..) un blabla s'etablit sur cette socket, puis ton pote demande des datas. IL faut etablir une seconde connexion. ok. mode actif : c'est le serveur qui etablit la connexion, depuis sont port 20, vers un port destination aleatoire. Si le client est derrière un firewall, ca ne marche probablement pas, sauf si son firewall est statefull et accept cette nouvelle connexion. mode passif : c'est le client qui ouvre la connexion (donc pas de problème pour son firewall) ver sle serveur sur le port 20. Le problème c'est alors le firewall coté serveur. Bon, grace à netfilter et ses fameux helpers, on sait ouvrir dynamiquement le port 20 pour un client qui avait deja une connexion sur le port 21. C'est la fameuse notation RELATED que l'on trouve dans les scripts de firewall. Ce que je ne savais pas justement, c'est que cela se basait sur le port, il est possible que ceci ne fonctionne pas sur d'autres ports.... Essaye donc une connexion active sur un poste sans firewall pour voir, je ne sais pas. Un truc qui m'etonne, c'est que ton pote n'arrive même pas à se connecter? j'aurais bien vu un plantage au ls ou un truc du genre, mais j'imagine qu'il aurait du reussir à se connecter puisque la connexion data n'est ouverte qu'apres une requete dessus.... T.

par **dbomber** » 27 Août 2003 14:55

En fait, je confirme ce que tu dis.... Mon pote (en fait ma moitié, ha les femmes!) a peut etre du mal configurer son client (elle utilise wiseftp), parce que j'avais essayé avec mon frére et il arrivait à se connecter mais pas à voir le contenu du répertoire et encore moins à télécharger. Donc si quelqu'un se connecte sur mon serveur en actif, cela marchera avec un autre port....ou sinon j'ouvre le fameux port 20. Mais ça me plait pas vraiment, puisque je change de port par sécurité, autant laisser le serveur sur le port 21! Au fait, je pensais que le port de donnée était ouvert aléatoirement entre les ports 1024 et 65535....si mes souvenirs sont bon (ça date de quelques mois, du temps où j'étais sur ipcop 1.2, puisque ces ports sont ouverts par défaut sur ce dernier)

par **tomtom** » 27 Août 2003 15:05

Je pense que selon les serveurs, tu peux changer le port de data.... A voir... Ceci dit, franchement, changer de port un serveur n'augmente vraiment que tres peu la securité.... Car cela ne resiste pas longtemps à NMAP, je t'assure ! La seule chose dont tu te protegera ainsi est le script qui teste plein d'ip sur le port ftp pour trouver un wsftp avec une faille connue par exemple.... T.

par **archi** » 27 Août 2003 15:08

Salut Pas de port 20 pour le client : le ftp passif n'a que 21 comme port fixe. Le port local du client est simplement > 1024. (pas besoin d'etre root sur le client!) @+

par **tomtom** » 27 Août 2003 16:28

Yes en fait en passif, le client ne se connecte pas sur le port 20 du serveur mais sur un port aléatoire... Donc si on accepte le mode passif, il faut ouvrir des ports pour autoriser le client à se connecter à un autre port. Encore une fois, je pense que le helper de netfilter permet de faire ceci dynamiquement. Pour regles ton problème : tu dois autoriser seulement une faible plage de ports autorisés pour le ftp-data ET les ouvrir (forwarder vers le serveur ftp). Le plus simple etant à mon avis de configurer proprement le firewall cote client pour faire du active ! T.

par **dbomber** » 27 Août 2003 17:48

Bon je crois que je vais garder le port 21 <IMG SRC="images/smiles/icon_cry.gif"> Je récapitule : port 21 pour le control, à forwarder port 20 pour les données uniquement en actif, à forwarder ou c'est forwarder automatiquement par ipcop? port >1024 pour les données uniquement en passif, forwarder dynamiquement par icpop avec le helper ftp Est ce que vous confirmer? Demain soir, j'essaierais avec mon frére en actif....pour voir et je vous tiens au courant...

par **tomtom** » 27 Août 2003 17:50

A priori OK. Pas besoin d'ouvrir le port 20 puisque la connexion sera etablie par le serveur donc il devrait etre autorisé à le faire ! Pour le passif, je ne sais pas comme ipcop s'en sort pour forwarder les ports, je pense qu'il ouvre dynamiquement avec le helper effectivement... t.

par **nono-marie** » 27 Août 2003 17:59

Ben le port de connexion du server FTP est parametrable sur certain server. J'utilise Filezilla FTP server et je peux tres bien lui dire d'ecouter sur le 32210. Apres avec le client il suffit de lui dire de se connecter sur le port que t'as configurer <IMG SRC="images/smiles/icon_wink.gif"> je vois po ou est le probleme ?? Ouuuu Pinaise !!!!

par **tomtom** » 27 Août 2003 18:20

Le probleme est de dire au firawall que la connexion data est autorisée en ne connaissant que la connexion controle. T.

par **nono-marie** » 28 Août 2003 16:49

Ben on parametre le server FTP en PASV avec l'IP du FW et une plage de port pour les connexions data pis sur le FW on set la meme plage de port de facon que tout passe bien. <IMG SRC="images/smiles/icon_razz.gif"> pis tout devrait tout bien allé !! <IMG SRC="images/smiles/icon_wink.gif">

FTP : autre port de control

Qui est en ligne ?