Pure-ftpd et filezila port aleatoir ?

Support Debian
#1

hello

Je me suis monter un serveur avec pure-ftpd .

la connection sur le port 21 en mode passif ce fait sans probleme.
mai apres il y une sorte de changement de port et sa prend un port aleatoir en prime du port 21.

le sujet n’est pas nouveau apres une recherche voila une page qui explique bien le souci:

forum.ovh.com/showthread.php?t=54931

la question est donc comment configurer iptables proprement vu que sa change de X a X … si c est pour tout laisser ouvert sur le serveur … :unamused: :think:

merci d’avance
et bonne fête :slightly_smiling:

#2

Bonsoir,

Pour réaliser cela, il te faut installer le module #modprobe ip_conntrack_ftp qui permet de réaliser le suivi de connexion FTP et de marquer le port “nouvellement” attribué à la connexion comme étant Related.

Ainsi les paquets seront ensuite acceptés par les règles

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Dominique

#3

[quote=“panthere”]a connection sur le port 21 en mode passif ce fait sans probleme.
mai apres il y une sorte de changement de port et sa prend un port aleatoir en prime du port 21.[/quote]
La connexion sur le port 21 n’est ni passive ni active, c’est la connexion de commande dont le contenu va ensuite décider si la connexion de données pour le listage de répertoire ou le transfert de fichier va se faire en mode actif (du port 20 du serveur vers un port dynamiquement défini par le client) ou en mode passif (d’un port quelconque du client vers un port dynamiquement défini par le serveur).

Ce module a été renommé nf_conntrack_ftp depuis le noyau 2.6.24 d’Etch-n-half, avec l’ancien nom ip_conntrack_ftp comme alias. Seul le premier paquet (SYN) d’une connexion de données FTP (en mode passif ou actif, peu importe) est classé dans l’état RELATED au lieu de NEW, les suivants sont classés dans l’état ESTABLISHED comme d’habitude. D’autre part ce modules a des limites : notamment il ne surveille que le port 21 par défaut (option ports= pour changer de port ou en ajouter), et surtout il ne fonctionne que si la connexion de commande est en clair, donc non chiffrée par TLS/SSL.

Et si la machine fait du NAT (DNAT, SNAT, MASQUERADE, REDIRECT…) sur la connexion FTP, alors il faut aussi charger le module nf_nat_ftp.

#4

Salut,

Sujet lancé ici port 20 bloqué ! firewall ? et qui fait débat, suivit par un spécialiste … :wink:

-edit-

Le spécialiste m’a devancer … :wink:

#5

Merci pour vos réponse :023
je vai dire a iptables d’utiliser le module qui va bien :slightly_smiling:
Un peux chian quand même ce type de protocole sa va me foutre un merd*** dans mon script arf. :12

#6

Salut,
Tu peux aussi définir une rangée de ports:

cat /etc/pure-ftpd/conf/PassivePortRange 30110 30210