Matthieu a écrit :
Examine la réponse du serveur à la commande PASV : l'adresse transmise en vue d'établir la connexion de données est 192.168.25.10 <http://192.168.25.10>, l'adresse privée du serveur. Il est évidemment impossible pour un client extérieur de joindre le serveur à cette adresse qui n'a de sens que sur le réseau local du serveur. Comme le client cherche à se connecter à cette adresse privée non routée sur internet, il est normal que ni le routeur ni le serveur ne voient rien arriver.oui j'ai bien vu la reponse, mais ce comportement n'est pas genant en mode non ssl.
Probablement parce que le NAT du routeur modifie l'adresse à la volée. Si le client voit une adresse privée, ça ne marche pas.
L'autre solution que je connais consiste à :- limiter la plage de ports en mode passif de vsftpd (déjà fait mais la plage 10000-20000 me semble inutilement étendue) ;oken ce qui concerne ces trois points, ils sont a utiliser separement j'imagines?
Si tu parles de limiter la plage de ports, la rediriger et forcer l'adresse publique, il faut les appliquer ensemble.
- au niveau du routeur NAT et du firewall, autoriser en entrée depuis l'extérieur et rediriger cette plage de ports vers l'adresse privée du serveur ; *heu, il faut que je fasse du filtrage sur un grand nombre de port?
Non, tu n'as pas forcément besoin d'un grand nombre de ports : ce nombre limitera le nombre de connexions de données simultanées, il est à choisir en fonction de la charge du serveur. Si la fréquentation est modeste, une dizaine de ports peut être suffisante.
pas que ce soit impossible mais moins j'ai de ports d'ouverts, mieux je me porte :)
Je comprends bien, c'est pourquoi je disais que je trouvais la plage 10000-20000 inutilement étendue : tu attends vraiment 10001 connexions de données simultanées ?
- forcer vsftpd à annoncer l'adresse IP publique du routeur au lieu de son adresse locale dans les réponses aux commandes PASV avec l'option "pasv_address".
merci pour toutes ses pistes en tout cas :)
Pas de quoi, et tiens-nous au courant des résultats, parce que je n'ai jamais essayé cette méthode, alors j'aimerais bien savoir si elle marche en vrai. ;-)
PS: si possible évite d'envoyer du HTML et de citer l'intégralité du message auquel tu réponds en fin de message, ça fait des messages inutilement gros (22 ko pour le tien contre 4 ko s'il avait été en texte brut) et c'est des coups à te faire filtrer par le robot antispam de la liste. Je vois que tu passes par Gmail/Google, j'espère que ce truc ne va pas devenir une plaie des listes de diffusion comme il est devenu une plaie des newsgroups Usenet. Et pas besoin d'envoyer une copie privée, les gens qui répondent sont généralement abonnés à la liste.