Port ouvert mais pourquoi ?

Port ouvert mais pourquoi ? - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 09-11-2011 à 22:13:56    

Salut,
 
J'ai paramétré un serveur FTP sur le port classique.
Au niveau de ma freebox j'ai fait une redirection du port 22222 vers le port ftp de mon serveur.
Donc avec cette config j'arrive à me connecter depuis l'extérieur à mon serveur FTP, jusqu'à lien d'anormal...
 
Mais ce qui m'étonne, c'est que lorsque le serveur FTP passe en mode passif sur le port 49999 par exemple, mon client arrive à se connecter sur ce nouveau port !
Je n'ai pas défini de redirection pour ce port sur ma freebox alors comment peut-elle rediriger la connexion vers le serveur ???
 
Une petite idée ?

Reply

Marsh Posté le 09-11-2011 à 22:13:56   

Reply

Marsh Posté le 09-11-2011 à 23:09:23    

Bonsoir!
 
Bien sûr: La Freebox voit la connexion data comme étant liée à la connexion de commande, qui elle est redirigée, acceptée, et active. Donc la connexion data aussi est acceptée, et redirigée au même endroit. C'est plus subtil que d'ouvrir une plage de port à tout les vents, comme on voit parfois. Parce que seule la bonne connexion data est ainsi acceptée, celle préalablement négociée dans les commandes FTP. Même adresse client, mêmes ports: Passe. Toutes les autres connexions sont rejetées.
 
Ce mécanisme automatique ne fonctionne qu'à une condition: Le port interne des commandes doit être le 21.

Reply

Marsh Posté le 09-11-2011 à 23:33:46    

Je te remercie pour ta réponse Mekthoub.
 
Donc si je comprends bien, la freebox analyse les paquets envoyés par le serveur FTP et détecte la commande PASV ainsi que la réponse contenant le nouveau port ?
Ensuite elle autorisera la connexion de ce client uniquement vers ce port.
 
C'est vraiment bien comme comportement et je n'avais jamais entendu parler de ça.
Où as-tu trouver cette information ?

Reply

Marsh Posté le 10-11-2011 à 11:25:42    

Exact. Et aussi elle traduit l'adresse IP LAN du serveur en IP WAN dans la réponse à PASV. Ce sont les modules ip_conntrack_ftp et ip_nat_ftp de son noyau Linux qui font ça: Une recherche sur ces deux noms devrait t'en dire plus. :)  

Reply

Marsh Posté le 10-11-2011 à 13:16:26    

Merci c'est très instructif !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed