Salut, David Hannequin a écrit :
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien en local. J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé.
Comme d'autres l'ont déjà expliqué, le chiffrage complet du contenu de la connexion de contrôle (port 21) empêche le suivi de connexion de Netfilter de prendre connaissance des caractéristiques des connexions de données (transmises par les commandes PASV/EPSV et PORT/EPRT) à classer comme RELATED, et de modifier le couple adresse/port transmis en cas de NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Pour faire fonctionner les transferts en mode actif (connexion établie dans le sens serveur -> client), il suffit normalement d'accepter et le cas écheant de NATer/MASQer toute connexion sortante émise à partir du port source 20 (ftp-data).
Pour les transferts en mode passif (connexion établie dans le sens client -> serveur), c'est plus délicat. Il faut voir au niveau de vsftpd si celui-ci permet de restreindre les ports à utiliser pour les connexions de données à une plage donnée, et ouvrir/rediriger cette plage de ports dans le firewall. D'autre part, si le serveur est NATé, il faut pouvoir spécifier dans la configuration de vsftpd l'adresse publique à transmettre. Ne connaissant pas vsftpd, je ne saurais dire si tout cela est faisable.
Le mode FTP passif est dit "firewall friendly", mais ce n'est vrai que si on se place côté client. Côté serveur, c'est tout le contraire !
Alternativement, utiliser SFTP/SSH à la place de FTP/TSL. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
