Serveur FTP derrière un routeur??? - Windows & Software
Marsh Posté le 29-11-2005 à 20:08:30
Créer des règles dans la partie firewall de ton routeur (port 21 en TCP + un range entre 50000 et 5000x pour le PASV parce que les serveurs en mode passif, c'est quand même plus pratique). Et exclure le PC hôte du serveur FTP du range DHCP du routeur en lui collant une IP fixe. Et paramétrer ton serveur FTP pour qu'il soit en PASV.
Marsh Posté le 29-11-2005 à 20:46:46
En mode PASV, ça signifie que le client émet une requête auprès du serveur (par le port 21), puis le serveur établi un slot de connexion avec le client (par un des ports PASV). Ce qu'on s'attend en général d'un mode de fonctionnement serveur/client.
Le problème des serveurs en mode actif, c'est que le client doit autoriser une connexion entrante de son firewall de la part du serveur (par le port 20 data). Or, si le client est derrière un NAT, ça oblige la personne à ouvrir un port 20.
Marsh Posté le 29-11-2005 à 21:54:19
J'ai créer les règles nécessaire et j'ai désactiver le dhcp du routeur. Comment doit je m'y prendre pour configurer mon serveur ftp pour qu'il soit en PASV
Marsh Posté le 29-11-2005 à 23:06:50
Pour les règles firewall (port 21 et ports PASV), j'ai oublié de te dire qu'elles doivent être accolé à l'IP du PC hôte du serveur FTP hein . Si le routeur possède une option static route, y mettre alors l'adresse privée du PC hôte.
Pour que ton serveur FTP réagisse en tant que serveur PASV, il faut que tu passes en revue son aide ou les options afin de voir où se situe l'activation de ce mode. Tout dépend de ton serveur FTP.
Marsh Posté le 30-11-2005 à 10:54:23
J'ai BulletProof comme serveur FTP tu crois qu'il est paramétrable pour activer le mode PASV? Merci dav
Marsh Posté le 30-11-2005 à 11:06:57
dav85 a écrit : J'ai BulletProof comme serveur FTP tu crois qu'il est paramétrable pour activer le mode PASV? Merci dav |
oui
options > multi ip settings > passive mode
Marsh Posté le 30-11-2005 à 22:23:34
Bonsoir à tous, jai configurer mon serveur ftp (BulletProof) (le serveur ftp BulletProof se situe sur un poste qui à pour IP 192.168.0.3) en mode passif et jai placé mon nom de domaine (dav.myftp.org) dans dynamic IP et ça ne fonctionne toujours pas. Je vais vous montrer comment jai configurer linterface de mon routeur Olitec sx 200. Et dites moi ce qui est a changé?
1)
Dans configuration avancée jai Firewall NAT qui est configuré de cette manière :
Configuration NAT
NAT : Actif (choix possibles : Actif ou Passif)
Mode : Dynamic (choix possibles : Dynamic ou NAT ou NAPT)
.
IP Utilisateur Action
Aucune IP nest précisé (choix possibles : ajouter ou effacer)
2)
Dans configuration avancé jai Serveur virtuels que jai configurée de cette manière :
Port Public Port Public Port privé Type Port @ IP hôte
(Début plage) (Fin plage)
21 21 21 TCP 192.168.0.3
21 21 21 UDP 192.168.0.3
80 80 80 TCP 192.168.0.3
80 80 80 UDP 192.168.0.3
20024 20035 21 TCP 192.168.0.3
La dernière ligne représente les ports range passif de mon serveur FTP allant de 20024 à 20035.
La redirection de ports est limité à 20 cest pour cela que jai mis 20024 à 20035.
3)
Dans configuration jai configuration diverses qui ressemble à :
Accès au serveur http du routeur
○ Accès Complet : réseau local (LAN) et réseau côté Internet (WAN) sans restriction
● Accès Restrictif
■ LAN
□ WAN limité depuis adresse IP distante 10.0.0.10
Masque de sous-réseau 255.0.0.0
Port du serveur http 80
Protection du serveur HTTP par mot de passe Actif
-------------------------------------------------------------------------------------
Accès au serveur FTP du routeur
Accès au serveur FTP du routeur Actif
□ Accès au serveur FTP limité au réseau local LAN
Accès au serveur TFTP du routeur Actif
--------------------------------------------------------------------------------------
Accès au routeur en mode lignes de commandes
Interface du routeur en mode ligne de commandes Actif
o Avec Console
● Avec Telnet ■ Accès Telnet limité au LAN
--------------------------------------------------------------------------------------
Zone démilitarisée (DMZ)
Zone DMZ Active
Adresse IP (LAN) de l'hôte DMZ 192.168.0.3
Proxy IGMP Inactif
Mode PPP Half Bridge Inactif
Connexion (PPP) automatique sur accès Internet Inactif
Connexion (PPP) sur liaison ADSL établie Actif
Marsh Posté le 30-11-2005 à 22:38:00
dav85 a écrit : Bonsoir à tous, jai configurer mon serveur ftp (BulletProof) (le serveur ftp BulletProof se situe sur un poste qui à pour IP 192.168.0.3) en mode passif et jai placé mon nom de domaine (dav.myftp.org) dans dynamic IP et ça ne fonctionne toujours pas. Je vais vous montrer comment jai configurer linterface de mon routeur Olitec sx 200. Et dites moi ce qui est a changé? |
Marsh Posté le 30-11-2005 à 23:05:28
OK parcontre je n'ai pas bien compris ce que je dois ecrire sur la dernière les avec les ports range (20024 et 20035).
Port Public Port Public Port privé Type de Port @ IP hôte
(Début plage) (Fin plage)
? ? ? ? 192.168.0.3
Marsh Posté le 30-11-2005 à 23:07:20
ouvre aussi le port 20 pour le ftp sinon ca va bien passer... (de 20 à 21 en tcp donc sur 192.168.0.3)
Marsh Posté le 30-11-2005 à 23:22:25
Il y a un truc que je ne comprends pas : dans port privé, tu ne peux pas mettre une plage de ports ?
Normalement, c'est Port public : début plage 20024 - fin plage 20035
Port privé : même chose
Type de port : TCP
IP : 192.168.0.3
Trevor, son serveur est pasv, donc le port data 20 n'est plus nécessaire vu qu'il est obligatoire dans le cas d'un serveur actif . Mais bon, il peut toujours le mettre, ça change rien .
Marsh Posté le 30-11-2005 à 23:27:29
ok, j'ai rien dit. j'suis fatigué moi aujourdhui...
mine de rien, j'ai toujours fonctionner qu'en mode actif, et personne ne sait jamais plaint...
Marsh Posté le 30-11-2005 à 23:28:26
Je ne peux pas mettre de plage de ports concernants les ports privés seulement dans les ports public. De plus quand je change le firewall nat comme tu m'a expliqué je n'ai plus de net. (Nat: Actif et Mode: Nat)
Marsh Posté le 30-11-2005 à 23:29:48
OULA attention, ne pas confonfre NAT qui peut etre actif/passif qui est la Translation d'Adresse (Network Address Translation) et le mode actif/passif du routeur
Marsh Posté le 30-11-2005 à 23:30:30
dav85 a écrit : Je ne peux pas mettre de plage de ports concernants les ports privés |
bah si, début plage et fin plage...
c'est préciser port public, car ce routeur (comme la plupart) n'est capable que de faire du Port Forwarding (faire suivre le port arrivant sur le routeur sur une machine de on lan sur le même port) et pas du Port MApping (faire correspondre un port X arrivant sur le routeur sur une machine sur un port Y)
ce qui veut dire en fait, que si tu indiques 20024-20035 comme plage de ports publics redirigés sur la machine 192.168.0.3 de ton lan, tout ce qui arrive sur ton routeur sur 20024-20035 sera rebalancé sur la plage de ports privés 20024-20035 de ta machine 192.168.0.3
Marsh Posté le 30-11-2005 à 23:35:06
dav85 a écrit : De plus quand je change le firewall nat comme tu m'a expliqué je n'ai plus de net. (Nat: Actif et Mode: Nat) |
Bon, remets le mode dynamic alors.
Pour les ports privés, c'est nécessaire de disposer d'une plage dans certains cas (pasv, videoconférence, serveur de jeu etc...). Il doit y avoir une option quelque part dans la même page. C'est pas possible autrement. Ou alors le fw de ton routeur olitec a un firmware bugué.
Marsh Posté le 30-11-2005 à 23:35:51
Les debuts de plage et fin de plage concernent seulement les ports public. Il n'y a qu'un champs pour renseigné les ports privés. Je ne peut donc pas préciser un port de debut et un port de fin pour les ports privés.
Marsh Posté le 30-11-2005 à 23:36:59
je crois pas, c'est juste de la translation de ports (comme 95% des routeurs grands publics)
Marsh Posté le 30-11-2005 à 23:37:55
dav85 a écrit : Les debuts de plage et fin de plage concernent seulement les ports public. Il n'y a qu'un champs pour renseigné les ports privés. Je ne peut donc pas préciser un port de debut et un port de fin pour les ports privés. |
les ports sont répliqués lors du forwarding, tu ne peux les préciser c'est tout
Marsh Posté le 30-11-2005 à 23:38:41
trevor a écrit : je crois pas, c'est juste de la translation de ports (comme 95% des routeurs grands publics) |
Ben alors dans ce cas, il ne met rien dans port privé
Marsh Posté le 30-11-2005 à 23:46:24
Pour résumer quelles lignes dois-je mettre dans ce petits tableaux (ports public debut, ports publics fin, port privé, type port, @IP hôte)pour que mon serveur FTP plaçé sur une machine ayant pour ip 192.168.0.3 fonctionne?
Sinon Trevor et Childerik voyez-vous d'autre paramètres à modifier dans l'interface de configuration de mon routeur?
Marsh Posté le 30-11-2005 à 23:46:34
désolé, c'est moi qui suit encore bigleux... j'aurais du regarder
à tester, mais dans ces cas-là en général, on donne le début de la plage de destination
ex:
port public début: 100
port public fin: 105
donc
port privé: 200
sachant que niveau privé, ca occupera donc la plage 200 -> 200+(105-100)=205
sinon peutetre qu'en ne mettant rien ca revient à de la simple translation (dans mon ex. 100 par défaut pour port privé)
ps: encore désolé de t'avoir contredit parce que je sais pas ouvrir mes oeils
Marsh Posté le 30-11-2005 à 23:49:56
dav85 a écrit : Pour résumer quelles lignes dois-je mettre dans ce petits tableaux (ports public debut, ports publics fin, port privé, type port, @IP hôte)pour que mon serveur FTP plaçé sur une machine ayant pour ip 192.168.0.3 fonctionne? |
Port Public Port Public Port privé Type Port @ IP hôte |
sinon rien d'autre
Marsh Posté le 30-11-2005 à 23:53:44
dav85 a écrit : La redirection de ports est limité à 20 c’est pour cela que j’ai mis 20024 à 20035. |
je pense que la limitation à 20 est liée à 20 redirections pas 20 ports
donc tu peux augmenter le nb de ports utiliser par ta plage de ports nécessaires au mode passif de ton serveur ftp
Marsh Posté le 30-11-2005 à 23:53:45
Pas grave : en fait, ce qui est chiant, c'est la différence de configuration qui existe entre les différents routeurs.
Je sais que chez moi, entre mon ancien linksys wag54g et mon nouveau belkin, il y a des plages autant pour les ports publics que pour les ports privés. Ce qui facilite la tâche.
Là, c'est encore un nouveau type de logique d'interface dans l'Olitec, et l'absence de plage dans les ports privés me semble assez étrange tout de même.
Pour en revenir à ton problème dav85, essaye la solution de trevor, ou celle-ci:
Port Public Port Public Port privé Type Port @ IP hôte
(Début plage) (Fin plage)
21 21 vide TCP 192.168.0.3
20024 20035 vide TCP 192.168.0.3
Marsh Posté le 30-11-2005 à 23:57:12
peutetre que si notre ami Dav85 consulte la notice de son routeur cela sera expliqué la signification de "port privé"
Marsh Posté le 01-12-2005 à 00:02:53
trevor a écrit : à tester, mais dans ces cas-là en général, on donne le début de la plage de destination |
je viens de me rappeller, c'est comme ça que ça fonctionnait dans winroute, que j'utilisais encore y'a 1 an et demi (excellent soft par ailleurs, pour se faire la main sur tout ce qui config réseau)
Marsh Posté le 01-12-2005 à 00:07:46
trevor a écrit : je pense que la limitation à 20 est liée à 20 redirections pas 20 ports |
J'ai essayé d'augmenter la plage de ports au mode passif de mon serveur mais ca passe pas car la limitation à 20 est liée à 20 ports.
Sinon Childerik je suis obligé de préciser une valeur dans le port privé.
J'ai éssayé la solution de trevor + la dmz descativer mais rien à faire quand je tape l'ip de mon routeur dans mon client ftp (cuteFTP) impossible de s'y connecter. Parcontre avec 192.168.0.3 ça marche (normal je suis en local).
Marsh Posté le 01-12-2005 à 00:12:31
trevor a écrit : peutetre que si notre ami Dav85 consulte la notice de son routeur cela sera expliqué la signification de "port privé" |
Je viens de regarder la notice de mon routeur afin d'avoir la signification de port privé voilà ce qu'il mette:
Port Public / Port privé Numéro de port côté Internet (WAN) relié à un numéro de port côté réseau local (LAN)
Marsh Posté le 01-12-2005 à 00:19:26
dav85 a écrit : Je viens de regarder la notice de mon routeur afin d'avoir la signification de port privé voilà ce qu'il mette: |
OK j'ai rien dit
Marsh Posté le 01-12-2005 à 00:19:41
dav85 a écrit : quand je tape l'ip de mon routeur dans mon client ftp (cuteFTP) impossible de s'y connecter. Parcontre avec 192.168.0.3 ça marche (normal je suis en local). |
Logique : celà veut dire que ton routeur ne prend pas en charge les loopbacks . Tu devrais alors ajouter la résolution DNS de ton serveur ftp dans le fichier hosts situé dans C:\WINDOWS\system32\drivers\etc, comme ceci :
192.168.0.103 dav.myftp.org # serveur ftp
Sinon, pour voir si ton serveur ftp est accessible de l'extérieur :
http://www.g6ftpserver.com/fr/ftptest
Marsh Posté le 01-12-2005 à 00:21:28
dav85 a écrit : 1) |
j'essais de réfléchir... mhh essais de passer le Mode en simple 'NAT', pas dynamique donc
je ne sais pas à quoi correspond dynamic. que dis la notice ?
Marsh Posté le 01-12-2005 à 00:35:58
trevor a écrit : j'essais de réfléchir... mhh essais de passer le Mode en simple 'NAT', pas dynamique donc |
Voila ce que dis la notice:
Configuration NAT
Network Address Protocol Translation (Dynamic)
Translation d'adresses IP par multiplexage des ports TCP/UDP.
Ce protocole associe une adresse IP côté WAN (Internet) à plusieurs adresses IP côté LAN (Réseau local) et donc permet le partage d'une connexion ADSL entre plusieurs postes utilisateurs.
Network Address Translation
Translation d'adresses IP.
Ce protocole associe une adresse IP côté WAN (Internet) à une adresse IP côté LAN (Réseau local) et donc autorise l'accès à Internet à un utilisateur uniquement.
Inactif Sélectionner ce choix pour désactiver les fonctions NAT, NATP ou NATP Dynamic.
Sinon quand je me met en mode simple le nat je suis deconnecté du net.
Marsh Posté le 01-12-2005 à 00:39:03
dav85 a écrit : Sinon quand je me met en mode simple le nat je suis deconnecté du net. |
NAT: actif
Mode: NAT
tu es déconnecté ? il faut que tu aies Dynamic dans Mode pour que cela marche ?
Marsh Posté le 01-12-2005 à 00:49:51
Si je met le mode nat je n'ai pas de net. Parcontre si je met NAPT ou Dynamic j'ai le net.
Marsh Posté le 01-12-2005 à 00:55:20
J'ai essayé ton test et il à l'air ok voila ce qu'il me met:
* About to connect() to dav.myftp.org port 21
* Trying 81.53.72.185... * connected
* Connected to dav.myftp.org (81.53.72.185) port 21
< 220 dftp
> USER lila
< 331 Password required for lila.
> PASS *****
< 230 User lila logged in.
* We have successfully logged in
> PWD
< 257 "/" is current directory.
* Entry path is '/'
> CLNT Testing from http://www.g6ftpserver.com/ftptest from IP 81.53.72.185
< 200 "Testing from http://www.g6ftpserver.com/ftptest from IP 81.53.72.185" noted.
> FEAT
< 211-Extensions supported:
< CLNT
< MDTM
< PASV
< REST STREAM
< SIZE
< 211 End.
> PASV
< 227 Entering Passive Mode (81,53,72,185,78,67)
* Trying 81.53.72.185... * connected
* Connecting to 81.53.72.185 (81.53.72.185) port 20035
* Connected the data stream with PASV!
> TYPE A
< 200 Type set to A.
> LIST
< 150 Data connection accepted from 70.86.139.226:4582; transfer starting.
* Getting file with size: -1
< 226 Transfer ok
drwxr-xr-x 1 ftp ftp 0 Dec 01 00:47 test
* Connection #0 to host dav.myftp.org left intact
> QUIT
< 221 Bye bye ...
* Closing connection #0
Tu peux essayer de chez toi de te connecter sur mon ftp.
@ ftp: dav.myftp.org
login: lila
mdp: lila
Marsh Posté le 01-12-2005 à 00:55:49
si tu mets en NAPT, est-ce que la configuration du port forwarding change ? (id est, est-ce qu'on ne peut tjs qu'indiquer 1 seul champ pour port privé ?)
Marsh Posté le 01-12-2005 à 01:02:54
Ben voilà : problème résolu : ton ftp fonctionne correctement
Reste à fignoler de ton côté pour parfaire la sécurité des répertoires de ton serveur, notament au niveau des droits lecture/écriture, droits des users etc....
Marsh Posté le 29-11-2005 à 20:03:46
Bonjour, depuis 2 jours je dispose de l'adsl avec un routeur olitec sx 200. Le problème c'est que je ne sais pas comment ouvrir les port 21 et 20 de mon routeur pour mon ftp.
Avant je n'avais pas de routeur et mon ftp fonctionnait très bien depuis l'exterieur mais maintenant ça ne marche plus quel manip je dois faire sur mon routeur pour faire fonctionner mon ftp?
Merci de votre aide
David