Précisions sur :
mode actif 
mode passif
standalone
Quels sont les ports indispensables : 20, 21, les deux
J’ai la flemme de te chercher une page qui explique tout ça (doit y en avoir plein pourtant), alors je vais te faire un résumé.
- Le client établit une connexion TCP de commande vers le serveur.
Port client : non privilégié (>1024), quelconque.
Port serveur : 21.
Avant d’effectuer un transfert de données (listage de répertoire ou transfert de fichier),
En mode passif :
2a) Le client envoie une commande PASV (PASsiVe) ou EPSV (Extended PaSsiVe) au serveur sur la connexion de commande. Le serveur envoie en réponse le port (en PASV et EPSV) et l’adresse (seulement en PASV) auquel le client doit se connecter pour établir la connexion de donnée.
3a) Le client envoie une commande de tranfert (LIST, RETR, STOR…) au serveur sur la connexion de commande.
4a) Le client établit une connexion TCP de donnée vers le serveur.
Port client : non privilégié, quelconque.
Port serveur : le port renvoyé dans la réponse à la commande PASV ou EPSV, qui est généralement non privilégié.
En mode actif :
2b) Le client envoie une commande PORT ou EPRT (Extended PoRT) au serveur sur la connexion de commande, accompagnée de son adresse et du port auxquels le serveur doit se connecter pour établir la connexion de donnée.
3b) Le client envoie une commande de tranfert (LIST, RETR, STOR…) au serveur sur la connexion de commande.
4b) Le serveur établit une connexion TCP de donnée vers l’adresse spécifiée par le client, généralement celle du client mais peut être différente dans le cas d’un transfert de serveur à serveur (FXP). Les serveur publics n’acceptent généralement pas le FXP.
Port serveur : 20.
Port client : le port envoyé dans la commande PORT ou EPRT, qui est généralement non privilégié.
- Les données sont transmises sur la connexion de donnée. Le sens de transfert des données (émission ou réception) n’a aucun lien avec le sens d’établissement de la connexion de donnée (passive ou active).
Pour répondre à tes questions,
- Standalone : Certains serveurs peuvent fonctionner avec inetd ou en démon autonome, dans le second cas on parle parfois de mode standalone. Mais cela n’a pas de rapport avec le protocole FTP.
- Port 20 : ne sert qu’en mode actif. Il n’est pas nécessaire de l’ouvrir ni le rediriger dans un firewall/NAT car c’est le port source d’une demande de connexion, si c’est ce qui t’intéresse.
Très bonnes explications, qui me précisent que je ne devrai ouvrir que le port 21, quand je déciderai de me servir de vsftpd, ce qui n’est pas encore le cas.
Un éclaircissement supplémentaire quand même :
Le choix du mode “actif” ou “passif”, est fait à l’installation ou il peut être choisi en cas de besoin ?
Si choix possible, quel est le plus sûr et/ou le plus pratique ?
En mode actif. En mode passif, il faut aussi autoriser le port de la connexion de donnée en entrée.
Et vice versa côté client.
[quote=“ricardo”]Le choix du mode “actif” ou “passif”, est fait à l’installation ou il peut être choisi en cas de besoin ?
Si choix possible, quel est le plus sûr et/ou le plus pratique ?[/quote]
C’est le client qui choisit le mode qu’il veut utiliser, en envoyant une commande PASV ou PORT. Ensuite le serveur peut refuser un des modes, c’est une questions de configuration.
Les deux modes sont symétriques et peuvent poser problème. Les soucis se produisent surtout lorsque le côté qui doit recevoir la connexion de donnée est derrière un firewall ou un NAT, donc le client en mode actif ou le serveur en mode passif.
Si tu gères un serveur FTP et tu veux minimiser le risque de problèmes côté clients sur lesquels tu n’as pas de prise (donc mode passif de préférence), tu autorises le mode passif sur ton serveur et tu résous les problèmes de mode passif de ton côté.
Le mode actif n’est pas forcément possible à partir d’un client derrière un routeur mal foutu (puisque celui ci doit faire une redirection du port négocié avec le serveur vers le client).
Le mode passif est mieux accepté en général (seul les routeurs/parefeu limitant les ports destination en sortie posent soucis (coté client)). Les navigateurs utilisent souvent le passif par défaut. À toi de choisir, met les 2
Merci à vous deux pour ces précisions supplémentaires.
@ Pascal :
Je n’avais pas bien interprété ta première réponse, qui répondais à la question que je pose ensuite 
Encore une petite pour la route :
Je ne devrais avoir besoin de ne me servir que ponctuellement de vsftpd, c’est à dire pas souvent et seulement pour des échanges entre mes enfants et moi (videos).
On m’a mis en garde sur les risuqes d’intrusion avec le ftp.
J’ai bien vu qu’il fallait prendre toutes les précautions quant à la configuration, au mots de passe, etc., ce que j’ai fait.
Si je l’installe mais que je laisse les ports 20 & 21 fermés, subsiste-t-il un risque
Étant entendu, évidemment, que j’aurai à les ouvrir pour rendre vsftpd opérationnel et que, dès lors, j’aurais à être prudent.
Je n’ai pas déjà écrit quelque part qu’il ne fallait pas “ouvrir” le port 20 ?
D’ailleurs je n’aime pas le terme “ouvrir”, il est trop imprécis. Parle-t-on d’une application qui écoute sur un port ou d’un firewall qui autorise les connexions (entrantes, sortantes, depuis, vers ?) ce port ?
Exact, pour le mode passif mais tu n’as pas rejeté catégoriquement le mode actif :
4b) Le serveur établit une connexion TCP de donnée vers l'adresse spécifiée par le client, généralement celle du client mais peut être différente dans le cas d'un transfert de serveur à serveur (FXP). Les serveur publics n'acceptent généralement pas le FXP.
Port serveur : 20.
Port client : le port envoyé dans la commande PORT ou EPRT, qui est généralement non privilégié.
[quote=“PascalHambourg”]D’ailleurs je n’aime pas le terme “ouvrir”, il est trop imprécis. Parle-t-on d’une application qui écoute sur un port ou d’un firewall qui autorise les connexions (entrantes, sortantes, depuis, vers ?) ce port ?[/quote]Allons allons, tu joues sur les mots,là, tu sais très bien que c’est un raccourci couramment employé.
Je suis moi aussi amateur d’une rhétorique précise mais je suis bien obligé de vivre avec mon temps, et bien que j’essaie de me contrôler, il m’arrive d’employer des raccourcis.
Bien, bien, comme tu veux… Alors je vais supposer que par “ouvrir” un port tu veux dire accepter les connexions entrantes vers ce port. Et moi aussi je vais faire un raccourci en assimilant le sens entrant ou sortant de la connexion avec le sens de la demande de connexion. C’est en effet la vision qu’on a avec un pare-feu à état typique qui filtre les demandes de connexion et laisse passer la suite de celles qui sont acceptées.
Pour en revenir à ce fameux port 20, il me semblait avoir été clair dans la conclusion de mon premier message : il n’est pas nécessaire de l’ouvrir ni le rediriger, quel que soit le mode de transfert FTP. En mode passif il n’est pas utilisé, donc on n’en parle même pas. En mode actif, c’est le port source d’une demande de connexion émise par le serveur. Or typiquement on filtre sur le port destination des demandes de connexion (entrantes la plupart du temps, les sortantes étant toutes autorisées). Ceci dit, rien ne t’empêche de filtrer le port source de tes connexions sortantes.
Ok, là c’est clair, je ne parle même plus du port 20.
Mais tu n’en as pas, pour autant, fini avec mes questions à la con 
Tu sais, l’apanage des vieux, c’est qu’ils peuvent tout se permettre et même poser les questions les plus bêtes 
Moi j’aime les smylies, na !