pb SP2 + LnS + FTP

Bonjour.

Quelles sont les regles a rajoutees pour qu'un serveur FTP fonctionne avec le SP2 (et LnS bien sur)
L'ouverture des ports 21 et 20 ne sufit pas.
une fois la connection sur le port 21 etablie, le client essaye de causer sur un autre port (de genre 2xxx).

J'ai essayre plusieurs logiciels de FTP -> marche pas
Par contre, ca marche avec le firewall de XP.

Je n'avais pas le pb avec le SP1.

merci

[Frederic]

Bonjour,

Avez-vous bien configuré les clients FTP en mode passif ?
C'est préférable pour passer au travers du firewall.

Est-ce que vous parlez bien d'une connexion directe ? ou s'agit-il d'une connexion d'un client ICS au travers d'un serveur ICS (partage de connexion internet de windows) ?

Frédéric

bonjour

client direct ou non (j'ai tester les 2). Serveur direct.
Test en passif (et aussi en actif mais c'est normal que ca marche pas )
Tout marche correctement avec le firewall XP

merci de vous occuper de moi

[Frederic]

Bonjour,

Parlez-vous en fait d'une configuration pour un client FTP ou d'un serveur FTP ?
Dans le cas où il s'agit bien d'un client, bien configuré en mode passif, qu'indique le journal de Look 'n' Stop quand ça ne marche pas ?

Si vous utilisez ICS pour le partage de connexion, le PC Serveur ICS doit être équipée des règles suivantes s'il utilise Look 'n' Stop:
http://www.looknstop.com/Fr/rules/do...tage XPSP2.rie


Frédéric

Je parle d'un XP SP2 + LnS sur un serveur FTP.
Le client a aussi un firewall et est en mode passif.

L'authentification se passe bien (port21), mais le firewall a l'air de bloquer les autres sessions quand le protocole FTP change de ports pour les transferts de donnees. Comme si LnS etait stateless. Il n'ouvre pas le port defini par le serveur FTP pour que le client FTP attaque dessus (commande genre get, list...).

J'ai remarqué qu'en autorisant elargissant la regle "Autorise le Web, le mail, l'Irc, et la plupart des services Internet standards." à 1024-> 65535, ca marche.
Le probleme semble similaire à celui du partage de connection SP2.

Actuellement j'ai desinstalle le SP2. Ca refonctionne correctement.

Je suis en train d'installer un autre poste avec XP2 + lns pour faire des tests.
J'aimerais comprendre ce qui se passe avec ce XP2.

PS : votre lien ne fonctionne pas.

[bloodscourge]

Pour le lien : lien réparé.

Quote:

mais le firewall a l'air de bloquer les autres sessions quand le protocole FTP change de ports pour les transferts de donnees. [...] J'ai remarqué qu'en autorisant elargissant la regle "Autorise le Web, le mail, l'Irc, et la plupart des services Internet standards." à 1024-> 65535, ca marche.

Euh... je suis pas du tout spécialiste rezo (moi c l'imagerie ) mais cela me semble etre un comportement normal, non (sans et avec cette ouverture de plage de ports)

Quote:

Il n'ouvre pas le port defini par le serveur FTP pour que le client FTP attaque dessus (commande genre get, list...).

Ce n'est pas le role de LnS d'ouvrir dynamiquement n'importe quel port à la demande (d'ou l'ouverture d'une plage de port).

[Frederic]

Bonjour,

J'ai corrigé le lien, mais il est surtout prévu a priori pour le cas d'un PC Serveur ICS sous XP-SP2 pour autoriser les PC clients ICS à se connecter.

Dans le cas d'un serveur FTP, il se peut effectivement que les ports locaux utilisés soient au delà de 5000, ce qui fait que la règle que vous avez utilisée permet de régler le problème.

Sinon, avez-vous essayé la règle pour serveur FTP disponible ici:
http://www.looknstop.com/Fr/rules/rules.htm#ServeurFTP

Look 'n' Stop est effectivement Stateless en ce qui concerne les connexions FTP (c'est pour celà qu'en mode client il faut être en mode passif).

Frédéric

Je ne savais pas que LnS était stateless. Cela explique pourquoi il faille ouvrir les ports 1024 à 5000.

Je vais essayer de fouiller du coter des ports à ouvrir. Peut-etre avec le lien que vous m'avez donner pour l'ICS.

La regle FTP normal 20-21 ne marche evidemment pas (sous SP2 bien sur).

je vous tiens au courant.

Par contre le fait de se mettre en mode passif pour le cilent, ca ne change pas groand chose au niveau du serveur. C'est pas plutot quand le client est derriere un proxy ou NAT ?

[Frederic]

Quote:

Originally Posted by stipower

Par contre le fait de se mettre en mode passif pour le cilent, ca ne change pas groand chose au niveau du serveur. C'est pas plutot quand le client est derriere un proxy ou NAT ?

Oui, pour le serveur ça ne change pas grand chose, la manip du mode passif sert à régler les problèmes de firewall sur les postes client FTP.

Frédéric

nous sommes d'accord.

Bon années à tout le monde.

bon, j'ai trouve le probleme. Rien a voir avec le PS2.
C'est dans le jeu de regles evoluees. la regle "TCP : Bloquer les connexions entrantes" (Bloque les paquets TCP entrants qui ont juste le
flag SYN de positionné).
Le 1er paquet de l'etablissement de session FTP est donc bloque. Je suis étonne de cette regle. Elle n'existe pas dans le jeu de regle standard.

Pouvez-vous m'en dire plus sur cette regle ?

merci

[Frederic]

Bonjour,

Cette règle a pour but de justement bloquer toute tentative de connexion entrante pour accroître la sécurité (et en particulier être Stealth au niveau des ports). C'est donc normal que le FTP standard soit bloqué.

Utilisez le mode PASV (passif) pour le client FTP et il n'y aura plus ce genre connexion.

Frédéric

Malheusement, ca ne marche toujours pas.
en passif, cette regle bloque la connection car c'est le client qui initie la connection (le serveur ftp est serveur pour la session).
an actif, cette regle n'es pas appliquee car c'est le serveur qui initie la connection sur le client(le serveur ftp devient client pour la session).

La solution est ailleur

Bon j'ai trouvé.

Pour le mode passif il faut :

- ouvrir le port 21
- definir une plage de ports à utiliser par le serveur FTP.
- ouvrir cette plage de ports.

C'est les 2 dernieres choses que je n'avais pas faite. Donc le firewall bloquait toute les connection entrantes.


Merci Frederic, pour le temps passé avec moi.
J'espère que la solution à mon problème va aider d'autr personnes.

A bientôt.

[scoubfgh]

Je rencontre le même problème les téléchargements sur FTP ne se lancent pas avec IE, pourtant je l'ai bien configuré en mode passif.

J'aimerais donc juste savoir quelle plage de ports définir et comment les ouvrir lorsque j'en ai besoin.

D'avance merci.

Frank

C'est toi qui choisis la plage a ouvrir. Ca se configure sur le logiciel FTP. (moi c'est servU)
Une fois la plage choisie, il faut ouvrir les ports correspondant sur LnS. Perso, j'en ai ouvert 100 pour etre tranquille.

J'ai repondu (trop) rapide. Si t'as d'autres questions, hesite pas.

[scoubfgh]

Merci pour l'aide mais je voudrais juste pouvoir télécharger des fichiers (comme des mises à jour par exemple) à l'aide d'IE. En effet je clique sur le lien et comme il chercher à télécharger sur un serveur FTP look'n'stop le bloque.

tout ce qui a ete dis sur ce topic est pour un serveur FTP. Dans ton cas (download), tu es client FTP. Normalement, tu n'a rien a faire en plus des regles standard ou meme evoluees. Ca marche tout seul.

[scoubfgh]

OK merci mais chez moi avec les règles classiques cela bloque. Que faire ?

Ca marche sans le firewall ?
si oui, dans les logs, quelle regle bloque ?

[scoubfgh]

En fait cela marche quand je décoche le filtrage logiciel, ce n'est donc peut-être pas dans les règles. Internet Explorer est bien sur autorisé, mais je dois bloquer quelque chose qui n'est utile que pour les chargements sur FTP, mais je ne vois pas quoi.

dans ce cas, efface toutes le entrees dans firewall logiciel refait la connection ftp

[scoubfgh]

OK merci pour tout en fait j'avais bloqué ALG, je l'ai autorisé et depuis cela fonctionnne. En espérant que cette autorisation est non dangereuse.

Merci encore pour l'aide.

De rien

[scoubfgh]

J'ai encore besoin de ton aide. En effet afin d'avoir mes fichiers dispos sur le net je voulais les transférer sur le serveur FTP de mon fournisseur d'accès qui m'alloue de l'espace.

J'utilise Filezilla et j'ai du créer une règle autorisant ICMP type 3, est-ce normal ? dangereux ?

Par contre je n'ai pas eu besoin d'ouvrir de plage de ports

Merci d'avance.