J'ai un etch avec vsftpd installé et configuré, avec l'aide de http://doc.ubuntu-fr.org/vsftpd
Depuis le LAN, ok en mode "clair" et ok en mode SSL1,2,3 et TLS en désactivant la ligne pasv_address=XX.XX.XX.XX
J'obtiens le certificat en tant que client via filezilla (FTP SSL explicite).
 
Depuis Internet, ok en mode "clair"
 
Et .... Presque ok en mode SSL, à tel point que je n'ai même pas aperçu d'erreur depuis le site g6ftpserver
 
Seulement, depuis un PC distant sur lequel je prends la main, je ne peux pas accéder à /.
J'ai testé en chrootant le user test ou en ne le chrootant pas (de ttes façons en clair il n'y a pas de pb).
J'accepte bien le certificat, qui d'ailleurs ne me donne pas de date de validité alors que depuis g6ftp, le certificat est bien daté.
 
A ce moment là, tout est ok pendant l'initiation de la session, et pouf, rien à l'arrivée.
J'ai évidemment renseigné la ligne pasv_address=XX.XX.XX.XX avec le nom dns de mon routeur, qui redirige preque tous les ports  
(j'en peux plus   ) vers mon debian.
 
Pour info : de 20à25enTCP et UDP
et 40000 à 40100 en TCP et UDP  
 
Cette passoire temporaire, (bien sûr que tous ces ports ne sont pas à ouvrir) m'enlève le doute.
 
Voilà où ça coince :
 
...
Réponse :    234 Proceed with negotiation.
Etat :    Connexion SSL établie. Attente du message d'accueil...
Commande :    PBSZ 0
Réponse :    200 PBSZ set to 0.
Commande :    PROT P
Réponse :    200 PROT now Private.
Commande :    USER user
Réponse :    331 Please specify the password.
Commande :    PASS *******
Réponse :    230 Login successful.
Commande :    FEAT
Réponse :    211-Features:
Réponse :     AUTH SSL
Réponse :     AUTH TLS
Réponse :     EPRT
Réponse :     EPSV
Réponse :     MDTM
Réponse :     PASV
Réponse :     PBSZ
Réponse :     PROT
Réponse :     REST STREAM
Réponse :     SIZE
Réponse :     TVFS
Réponse :    211 End
Etat :    Connecté
Etat :    Récupération de la liste de répertoires...
Commande :    CWD /home/user/
Réponse :    550 Failed to change directory.
Erreur :    N'a pas pu récupérer la liste du répertoire
Commande :    REST 0
Réponse :    350 Restart position accepted (0).
Commande :    PWD
Réponse :    257 "/"
Commande :    PWD
Réponse :    257 "/"

En fait, je n'ai pas pu croire qu'on ne pouvais pas mettre un nom DNS
dans pasv_address=XX.XX.XX.XX.
Donc j'ai tenté en mettant l'IP publique et boom, tout ok.
Pour les étourtis comme moi, ne pas oublier d'avoir dans la génération du certificat le même le Common name = l'hôte dns et pas autre chose...
 
Ma source concernant ce pb de résolution de nom :
http://www.linuxquestions.org/ques [...] p?t=262063
 
Ca fonctionne nikel, reste donc à faire un petit démon qui va scruter l'adresse ip publique pour aller renseigner le vsftpd.conf mais cela implique qu'il lui faut relire la configue, donc restarter ??
 
PS : Peut-il relire la configue à chaud ?

Incroyable mais vrai :  
Dans le man de vsftpd et dans la conf par défaut, rien ne fait allusion à  
cette MAGNIFIQUE et INDISPENSABLE directive :
 
pasv_addr_resolve=YES
 
En effet, elle permet d'indiquer à vsftpd de résoudre l'adresse IP en nom
d'hôte, ce qu'il ne fait pas par défaut.
 
pasv_address=coucou.dd.fr
 
Je me réponds tout seul mais j'espère que ça aidera du monde ;-)
 
ma source, (qui a été la seule sur une journée complète en googlant)
http://linux.die.net/man/5/vsftpd.conf

Ben ta source c'est le man de vsftpd.conf
Les manuels ne sont pas restreints au commande mais également au fichier de conf, appel de fonction C...

une requete du style :    man -k vsftpd t'aurais donné les noms différents manpages associé à vsftpd.

Bon bin j'suis vraiment sot, mais peut-être que je n'aurai pas été le seul
en voyant les scripts qui ont été développés, (cf lien plus haut).
 
Merci de l'info, ça m'apprendra à mieux lire !