Mon Firewall m'interdit le FTP

[Benoit7114]

Bonjour

J'ai mis en place des regles de securites perso sur mon Firewall (Sygate Personnal Firewall) et tout se passe bien, excepte que je ne parvient pas a faire du FTP. En effet je drop tous les paquets inconnus et donc, pour authoriser le FTP, j'ai ouvert le port 21 en sortie et le 20 en entrée. Le probleme, c'est que ca ne suffit pas : d'apres mes logs, une fois la connexion initialisé sur le port 21, la transaction se poursuit en utilisant des ports bizarres et surtout qui ne sont jamais les mêmes. Résultat : je ne peut ni uploader ni downloader en FTP (ou alors, il faut que j'ouvre le Firewall .
Quelqu'un aurait il une idée pour résoudre mon pb? Vais-je devoir continuer a ouvrir mon Firewall a chaque fois que j'ai besoin de mettre mon site a jour ou que je veux récupperer des MAJ sur les sites FTP?
Help me, please, help me !!!

[drikcT]

Bonjour,

C'est le principe du protocole FTP: les ordres passent par un port particulier par contre les données passent par un port aléatoire. Il faut que ton parefeu comprenne le protocole FTP et l'interprète pour ouvrir dynamiquement le port des données. Il faudrait que tu consultes la documentation sur ton parefeu pour savoir si il le comprend.

Bon courage.

[Methos_Hi]

en effet en mode actif, tu as besoin d'avoir le port 21 en sortie et 20 en entrée.
en mode passif par contre, tu as toujours besoin du 21 en sortie mais également tous les "high ports' en sortie (1024:65535), sauf si tu connais la plage de ports dynamiques du serveur distant.

Peut-être que ton client ftp fonctionne par défaut en mode passif et que tu devrais essayer de le mettre en mode actif pour voir si le serveur l'accèpte.

[ztim62]

Salut !

tu as dû deja parametrer ton fw pour faire du web (surf donc en sortie), et bien le ftp, c'est à peu pres la meme chose, tu attaques un serveur distant sur le port 21 mais tu sors de chez toi avec un port aléatoire compris entre 1024 et 65535. Donc en sortie (mais c'est come pour le web) tu dois autoriser tous ces ports là.

Pour l'entrée, c'est la différence avec le http, si tu est en mode actif, tu doit ouvrir le port 20 en entrée (port utilisé pour les communications entre serveur et client hors transfert de données donc les commandes)


A bientot

Tim

[Methos_Hi]

Pour l'entrée, c'est la différence avec le http, si tu est en mode actif, tu doit ouvrir le port 20 en entrée (port utilisé pour les communications entre serveur et client hors transfert de données donc les commandes)

Le port 20 c'est pour le ftp-data, donc pas pour les commandes.
Il est utilisé en mode actif. Dans ce cas le serveur FTP proprement dit se comporte en client, et le client FTP de l'utilisateur en serveur. (Mais uniquement pour le ftp-data pas pour le ftp).
Le problème c'est que lorsque le client FTP se trouve sur un site protégé qui n'accèpte pas de connexion entrante, alors l'échange de fichier est impossible. D'où l'existence du mode passif où la connexion ftp-data se fait du client FTP vers le serveur FTP sur un port non fixe, indiqué par le serveur dans la connexion ftp (celle du port 21).

Pour plus d'infos : http://christian.caleca.free.fr/

[ztim62]

oups, désolé !

j'ai tout inversé ... very sorry !

Je me renseignerai la prochaine fois au lieu de me baser que sur mes souvenirs ...

A bientot

Tim

[Benoit7114]

Merci a tous,

Ca m'a effectivement appris pas mal de truc sur le fonctionnement du protocole FTP. (et puis, je suis également allé me renseigner par moi meme depuis). Cela dit, ca n'a pas reglé mon pb En effet, je suis dépendant du serveur FTP de l'hebergeur de mon site qui ne fonctionne qu'en mode passif. Et comme il est hors de question que j'ouvre les plages hautes de mes ports TCP, il ne me reste plus qu'une option (pas tres satisfaisante) : ouvrir l'ensemble de mes ports TCP pour le host de mon hebergeur lorsque je met mon site a jour (heureusement, c'est pas tous les jours!!).
Encore merci a tout ceux qui ont pris le temps de me repondre.

[stephadou]

Salut à tous,
en parlant de port, j'ai moi aussi un petit problème.

En fait je suis derrière un serveur linux et je veux tester la téléphonie.
Mais malheureusement rien ne passe.
c'est peut être mon firewall qui bloque les ports que doit utiliser la téléphonie.

Pouvez vous me donner quelque solution sur comment m'en sortir avec mon test.

Merci, car je sais que vous êtes tous fort.

A +
Steph@dou

[Benoit7114]

Qu'est ce que tu appelles la telephonie? Ca correspond a un soft en particulier?

Sinon, moi, pour tester ce qui est rejetté par le Firewal, je commence par vider les fichiers de Logs (sauvegarde les avant, ca peut toujours etre util), et puis je lance l'appli récalcitrante (la téléphonie dans ton cas). Je retourne voir dans les logs et là normalement tu dois pouvoir voir quels sont les transactions qui sont acceptées et celles qui sont rejetées, ainsi que les ports correspondants. Si tu vois qu'un port donné (toujours le même) est rejeté, tu peux essayer de l'ouvrir au niveau de ton Firewall. Voila, c'est juste une piste, je débute dans l'utilisation des Firewall mais j'espere que ca pourra t'aider.