Matthieu a écrit :
Examine la réponse du serveur à la commande PASV : l'adresse transmise
en vue d'établir la connexion de données est 192.168.25.10
<http://192.168.25.10>, l'adresse privée du serveur. Il est évidemment
impossible pour un client extérieur de joindre le serveur à cette
adresse qui n'a de sens que sur le réseau local du serveur. Comme le
client cherche à se connecter à cette adresse privée non routée sur
internet, il est normal que ni le routeur ni le serveur ne voient rien
arriver.
oui j'ai bien vu la reponse, mais ce comportement n'est pas genant en
mode non ssl.
Probablement parce que le NAT du routeur modifie l'adresse à la volée.
Si le client voit une adresse privée, ça ne marche pas.
L'autre solution que je connais consiste à :
- limiter la plage de ports en mode passif de vsftpd (déjà fait mais
la plage 10000-20000 me semble inutilement étendue) ;
ok
en ce qui concerne ces trois points, ils sont a utiliser separement
j'imagines?
Si tu parles de limiter la plage de ports, la rediriger et forcer
l'adresse publique, il faut les appliquer ensemble.
- au niveau du routeur NAT et du firewall, autoriser en entrée depuis
l'extérieur et rediriger cette plage de ports vers l'adresse privée du
serveur ; *
heu, il faut que je fasse du filtrage sur un grand nombre de port?
Non, tu n'as pas forcément besoin d'un grand nombre de ports : ce nombre
limitera le nombre de connexions de données simultanées, il est à
choisir en fonction de la charge du serveur. Si la fréquentation est
modeste, une dizaine de ports peut être suffisante.
pas que ce soit impossible mais moins j'ai de ports d'ouverts, mieux
je me porte :)
Je comprends bien, c'est pourquoi je disais que je trouvais la plage
10000-20000 inutilement étendue : tu attends vraiment 10001 connexions
de données simultanées ?
- forcer vsftpd à annoncer l'adresse IP publique du routeur au lieu de
son adresse locale dans les réponses aux commandes PASV avec l'option
"pasv_address".
merci pour toutes ses pistes en tout cas :)
Pas de quoi, et tiens-nous au courant des résultats, parce que je n'ai
jamais essayé cette méthode, alors j'aimerais bien savoir si elle marche
en vrai. ;-)
PS: si possible évite d'envoyer du HTML et de citer l'intégralité du
message auquel tu réponds en fin de message, ça fait des messages
inutilement gros (22 ko pour le tien contre 4 ko s'il avait été en texte
brut) et c'est des coups à te faire filtrer par le robot antispam de la
liste. Je vois que tu passes par Gmail/Google, j'espère que ce truc ne
va pas devenir une plaie des listes de diffusion comme il est devenu une
plaie des newsgroups Usenet. Et pas besoin d'envoyer une copie privée,
les gens qui répondent sont généralement abonnés à la liste.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
