pb SP2 + LnS + FTP

Discussion in 'LnS French Forum' started by StiPower, Dec 17, 2004.

Thread Status:
Not open for further replies.
  1. StiPower

    StiPower Guest

    Bonjour.

    Quelles sont les regles a rajoutees pour qu'un serveur FTP fonctionne avec le SP2 (et LnS bien sur)
    L'ouverture des ports 21 et 20 ne sufit pas.
    une fois la connection sur le port 21 etablie, le client essaye de causer sur un autre port (de genre 2xxx).

    J'ai essayre plusieurs logiciels de FTP -> marche pas
    Par contre, ca marche avec le firewall de XP.

    Je n'avais pas le pb avec le SP1.

    merci
     
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Avez-vous bien configuré les clients FTP en mode passif ?
    C'est préférable pour passer au travers du firewall.

    Est-ce que vous parlez bien d'une connexion directe ? ou s'agit-il d'une connexion d'un client ICS au travers d'un serveur ICS (partage de connexion internet de windows) ?

    Frédéric
     
  3. stipower

    stipower Guest

    bonjour

    client direct ou non (j'ai tester les 2). Serveur direct.
    Test en passif (et aussi en actif mais c'est normal que ca marche pas ;))
    Tout marche correctement avec le firewall XP

    merci de vous occuper de moi :)
     
  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Parlez-vous en fait d'une configuration pour un client FTP ou d'un serveur FTP ?
    Dans le cas où il s'agit bien d'un client, bien configuré en mode passif, qu'indique le journal de Look 'n' Stop quand ça ne marche pas ?

    Si vous utilisez ICS pour le partage de connexion, le PC Serveur ICS doit être équipée des règles suivantes s'il utilise Look 'n' Stop:
    http://www.looknstop.com/Fr/rules/downloader.php?file=Partage XPSP2.rie


    Frédéric
     
    Last edited: Dec 22, 2004
  5. stipower

    stipower Guest

    Je parle d'un XP SP2 + LnS sur un serveur FTP.
    Le client a aussi un firewall et est en mode passif.

    L'authentification se passe bien (port21), mais le firewall a l'air de bloquer les autres sessions quand le protocole FTP change de ports pour les transferts de donnees. Comme si LnS etait stateless. Il n'ouvre pas le port defini par le serveur FTP pour que le client FTP attaque dessus (commande genre get, list...).

    J'ai remarqué qu'en autorisant elargissant la regle "Autorise le Web, le mail, l'Irc, et la plupart des services Internet standards." à 1024-> 65535, ca marche.
    Le probleme semble similaire à celui du partage de connection SP2.

    Actuellement j'ai desinstalle le SP2. Ca refonctionne correctement.

    Je suis en train d'installer un autre poste avec XP2 + lns pour faire des tests.
    J'aimerais comprendre ce qui se passe avec ce XP2.

    PS : votre lien ne fonctionne pas.
     
  6. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Pour le lien : lien réparé.

    Euh... je suis pas du tout spécialiste rezo (moi c l'imagerie :D) mais cela me semble etre un comportement normal, non o_O (sans et avec cette ouverture de plage de ports)
    Ce n'est pas le role de LnS d'ouvrir dynamiquement n'importe quel port à la demande (d'ou l'ouverture d'une plage de port).
     
    Last edited: Dec 20, 2004
  7. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    J'ai corrigé le lien, mais il est surtout prévu a priori pour le cas d'un PC Serveur ICS sous XP-SP2 pour autoriser les PC clients ICS à se connecter.

    Dans le cas d'un serveur FTP, il se peut effectivement que les ports locaux utilisés soient au delà de 5000, ce qui fait que la règle que vous avez utilisée permet de régler le problème.

    Sinon, avez-vous essayé la règle pour serveur FTP disponible ici:
    http://www.looknstop.com/Fr/rules/rules.htm#ServeurFTP

    Look 'n' Stop est effectivement Stateless en ce qui concerne les connexions FTP (c'est pour celà qu'en mode client il faut être en mode passif).

    Frédéric
     
  8. stipower

    stipower Guest

    Je ne savais pas que LnS était stateless. Cela explique pourquoi il faille ouvrir les ports 1024 à 5000.

    Je vais essayer de fouiller du coter des ports à ouvrir. Peut-etre avec le lien que vous m'avez donner pour l'ICS.

    La regle FTP normal 20-21 ne marche evidemment pas (sous SP2 bien sur).

    je vous tiens au courant.

    Par contre le fait de se mettre en mode passif pour le cilent, ca ne change pas groand chose au niveau du serveur. C'est pas plutot quand le client est derriere un proxy ou NAT ?
     
  9. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Oui, pour le serveur ça ne change pas grand chose, la manip du mode passif sert à régler les problèmes de firewall sur les postes client FTP.

    Frédéric
     
  10. stipower

    stipower Guest

    nous sommes d'accord.
    :)
     
  11. stipower

    stipower Guest

    Bon années à tout le monde.

    bon, j'ai trouve le probleme. Rien a voir avec le PS2.
    C'est dans le jeu de regles evoluees. la regle "TCP : Bloquer les connexions entrantes" (Bloque les paquets TCP entrants qui ont juste le
    flag SYN de positionné).
    Le 1er paquet de l'etablissement de session FTP est donc bloque. Je suis étonne de cette regle. Elle n'existe pas dans le jeu de regle standard.

    Pouvez-vous m'en dire plus sur cette regle ?

    merci
     
  12. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Cette règle a pour but de justement bloquer toute tentative de connexion entrante pour accroître la sécurité (et en particulier être Stealth au niveau des ports). C'est donc normal que le FTP standard soit bloqué.

    Utilisez le mode PASV (passif) pour le client FTP et il n'y aura plus ce genre connexion.

    Frédéric
     
  13. stipower

    stipower Guest

    Malheusement, ca ne marche toujours pas.
    en passif, cette regle bloque la connection car c'est le client qui initie la connection (le serveur ftp est serveur pour la session).
    an actif, cette regle n'es pas appliquee car c'est le serveur qui initie la connection sur le client(le serveur ftp devient client pour la session).

    La solution est ailleur :(
     
  14. stipower

    stipower Guest

    Bon j'ai trouvé.

    Pour le mode passif il faut :

    - ouvrir le port 21
    - definir une plage de ports à utiliser par le serveur FTP.
    - ouvrir cette plage de ports.

    C'est les 2 dernieres choses que je n'avais pas faite. Donc le firewall bloquait toute les connection entrantes.


    Merci Frederic, pour le temps passé avec moi.
    J'espère que la solution à mon problème va aider d'autr personnes.

    A bientôt.
     
  15. scoubfgh

    scoubfgh Registered Member

    Joined:
    Feb 28, 2004
    Posts:
    24
    Je rencontre le même problème les téléchargements sur FTP ne se lancent pas avec IE, pourtant je l'ai bien configuré en mode passif.

    J'aimerais donc juste savoir quelle plage de ports définir et comment les ouvrir lorsque j'en ai besoin.

    D'avance merci.

    Frank
     
  16. stipower

    stipower Guest

    C'est toi qui choisis la plage a ouvrir. Ca se configure sur le logiciel FTP. (moi c'est servU)
    Une fois la plage choisie, il faut ouvrir les ports correspondant sur LnS. Perso, j'en ai ouvert 100 pour etre tranquille.

    J'ai repondu (trop) rapide. Si t'as d'autres questions, hesite pas.
     
  17. scoubfgh

    scoubfgh Registered Member

    Joined:
    Feb 28, 2004
    Posts:
    24
    Merci pour l'aide mais je voudrais juste pouvoir télécharger des fichiers (comme des mises à jour par exemple) à l'aide d'IE. En effet je clique sur le lien et comme il chercher à télécharger sur un serveur FTP look'n'stop le bloque.
     
  18. stipower

    stipower Guest

    tout ce qui a ete dis sur ce topic est pour un serveur FTP. Dans ton cas (download), tu es client FTP. Normalement, tu n'a rien a faire en plus des regles standard ou meme evoluees. Ca marche tout seul.
     
  19. scoubfgh

    scoubfgh Registered Member

    Joined:
    Feb 28, 2004
    Posts:
    24
    OK merci mais chez moi avec les règles classiques cela bloque. Que faire ?
     
  20. stipower

    stipower Guest

    Ca marche sans le firewall ?
    si oui, dans les logs, quelle regle bloque ?
     
  21. scoubfgh

    scoubfgh Registered Member

    Joined:
    Feb 28, 2004
    Posts:
    24
    En fait cela marche quand je décoche le filtrage logiciel, ce n'est donc peut-être pas dans les règles. Internet Explorer est bien sur autorisé, mais je dois bloquer quelque chose qui n'est utile que pour les chargements sur FTP, mais je ne vois pas quoi.
     
  22. stipower

    stipower Guest

    dans ce cas, efface toutes le entrees dans firewall logiciel refait la connection ftp
     
  23. scoubfgh

    scoubfgh Registered Member

    Joined:
    Feb 28, 2004
    Posts:
    24
    OK merci pour tout en fait j'avais bloqué ALG, je l'ai autorisé et depuis cela fonctionnne. En espérant que cette autorisation est non dangereuse.

    Merci encore pour l'aide.
     
  24. stipower

    stipower Guest

    De rien ;)
     
  25. scoubfgh

    scoubfgh Registered Member

    Joined:
    Feb 28, 2004
    Posts:
    24
    J'ai encore besoin de ton aide. En effet afin d'avoir mes fichiers dispos sur le net je voulais les transférer sur le serveur FTP de mon fournisseur d'accès qui m'alloue de l'espace.

    J'utilise Filezilla et j'ai du créer une règle autorisant ICMP type 3, est-ce normal ? dangereux ?

    Par contre je n'ai pas eu besoin d'ouvrir de plage de ports o_O

    Merci d'avance.
     
Thread Status:
Not open for further replies.