La Fibre
Télécom => Réseau => 
TCP/IP / Fonctionnement des réseaux => Discussion démarrée par: corrector le 29 février 2016 à 01:42:04
-
-Je n'ai pas pu me connecter au FTP de testdebit.info en IPv4 (encore une histoire de plage de port ça)
Qu'est-ce qui te fait dire ça?
-
Je n'avais pas fait attention aux remarques que tu as faites, concernant le FTP de testdebit que tu n'as pas pu contacter, tu as essayé avec quel logiciel, Filzilla ? C'est peut-être une histoire de FTP passif vs actif ? En passif, les ports d’échange des données sont ouverts sur le serveur, donc cela ne devrait pas avoir d'importance le port d'où tu pars, à condition que le serveur testdebit le permette (ou son pare-feu) ?
En actif cela devrait fonctionner aussi!
-
Qu'est-ce qui te fait dire ça?
Le fait que la connexion ai échouée ? La capture est en PJ sur mon post. Je pense que le fait qu'il ai tenté de se connecter en passif donc avec une plage de ports définie par le serveur y est pour quelque chose. En IPv6 c'est OK, chez moi avec SFR en IPv4 aussi.
-
N'importe quoi.
-
Le fait que la connexion ai échouée ? La capture est en PJ sur mon post. Je pense que le fait qu'il ai tenté de se connecter en passif donc avec une plage de ports définie par le serveur y est pour quelque chose. En IPv6 c'est OK, chez moi avec SFR en IPv4 aussi.
En passif, on se connecte au serveur, qui donne un port destination. C'est la plage de ports sources qui est restreinte, donc ce n'est pas un problème.
Je pense plus a un soucis de MTU, il faudrait faire des captures wireshark côté client et serveur pour confirmer (ou forcer la MTU à sa valeur déterminée avec le test de ping).
-
N'importe quoi.
Merci pour ces précisions ;)
-
Pardon mais j'ai déjà expliqué et réexpliqué que le FTP traditionnel marche toujours sur la Freebox.
-
le FTP "passif" (je ne connais pas le terme, ni ce que ça implique), c'est le FTP classique ?
-
Le FTP "classique", c'est le FTP du bon vieux temps?
Tu ne connais pas "être un passif" "être un actif"?
-
passif ou pas ?
Tu ne connais pas "être un passif" "être un actif"?
Il dit qu'il voit pas le rapport ::)
-
Le passif, il attend qu'on le prenne. Il choisit pas. Il est là, il attend. (Bon, il peut refuser.)
L'actif, il va vers. Il choisit.
Ouverture active, ouverture passive, j'ai du en parler des dizaines de fois!
-
Donc le "bon vieux FTP" est passif, c'est ça ? Et donc, on se fout complètement du port ?
-
Non, on ne se fout jamais du port d'ouverture passive. Le port ça permet de trouver les sockets. Comme taper à la bonne porte permet de trouver les gens. Si tu ne tapes à la bonne porte tu ne trouves pas la personne et si tu ne tapes le bon port tu ne trouve pas la socket.
Par contre du coté de l'ouverture active, on se fout évidemment du port, qui sert juste à démultiplexer les connexions TCP actives. Il n'est jamais utilisé par l'applicatif donc jamais transmis en dehors de la couche TCP. (Enfin si, dans un cas...) C'est ce port "éphémère" que le forum affiche en vert ou en rouge depuis quelques temps.
L'important est que le passif doit se faire connaitre des actifs qui veulent le prendre, par une publication dans le DNS ou autre. L'actif n'a pas à se faire connaitre, il se déplace.
-
Je pensais au port de retour (si c'est le bon terme) qui n'arriverait pas sur la bonne plage
Par contre du coté de l'ouverture active, on se fout évidemment du port, qui sert juste à démultiplexer les connexions TCP actives. Il n'est jamais utilisé par l'applicatif donc jamais transmis en dehors de la couche TCP. (Enfin si, dans un cas...) C'est ce port "éphémère" que le forum affiche en vert ou en rouge depuis quelques temps.
-
Je pensais au port de retour (si c'est le bon terme) qui n'arriverait pas sur la bonne plage
Le port "éphémère", le port choisi par le passif. Le port "source" quand on commence l'ouverture de connexion (SYN) et le port "destination" quand le serveur répond en disant qu'il est d'accord pour ouvrir aussi (SYN,ACK).
Il n'y a aucune raison qu'il soit dans la bonne plage évidemment. L'OS ne connait pas le concept de quart d'IP Free. Il ne sait pas quelle est la bonne plage. La plupart du temps, il ne sera PAS dans la bonne plage.
Cela me semblait assez évident pour ne pas avoir à le préciser.
-
le FTP "passif" (je ne connais pas le terme, ni ce que ça implique), c'est le FTP classique ?
Dans le FTP du bon vieux temps, celui des vieux artisans qu'on voit dans le JT de 13H de TF1, l'actif de la connexion de contrôle vers TCP/21 (le client FTP) demande au passif (le serveur FTP, qui a ouvert passivement le port TCP/21) de venir le prendre. Il lui indique pour cela où il se cache (son numéro de port). Le serveur FTP est alors actif.
Terminologie : On parle de FTP actif quand le client (l'actif) est passif. Mais les parents pare-feu n'aiment pas ça et parfois bloquent le serveur quand il arrive. Alors la norme dit que le serveur doit prendre le port éphémère 20 ce qui est parfaitement crétin mais qui plait aux parents, des fois.
La Freebox en revanche est conçue pour bien accepter cette situation.
Aujourd'hui les villages sont désertés, on n'a plus de voitures hippomobiles, Jean-Pierre Pernaut se morfond et tout le monde fait du FTP passif, où c'est le client (l'actif de la connexion TCP/21) qui est actif : il va prendre le serveur. Pour cela il demande au serveur de lui dire de venir le prendre. Je serveur répond prends moi je suis à telle adresse.
(https://lafibre.info/index.php?action=dlattach;topic=20570.0;attach=23205;image)
Dans FileZilla tu as le choix du comportement du client. Tu peux t'amuser à voir ce qui marche ou non.
-
En FTP passif, ce n'est pas le port 20 (data) qui est utilisé en général, car plusieurs clients peuvent se connecter simultanèment (et il est en-dessous de 1024). On définit en général une plage de ports, qui sont autorisés en entrée sur le pare-feu derrière lequel est le serveur FTP. Cela évite d'ouvrir en entrée tous les ports sur le serveur. Du style :
# vi /usr/local/etc/proftpd.conf
...
PassivePortRange 30000 32000
...
Exemple repris sur le blog de Nicolargo :
http://blog.nicolargo.com/2008/04/ftp-actif-versus-ftp-passif.html
-
Je pensais au port de retour (si c'est le bon terme) qui n'arriverait pas sur la bonne plage
L'important est de comprendre que les numéros de ports n'ont pas du tout la même fonction, et pour moi ils ne font pas partie de la même couche protocolaire.
Dans un protocole il y a ce qui sert à l'utilisateur et la salade interne. Par exemple dans le DNS ce qui sert à l'utilisateur est la délimitation par "." que Mme Michu DOIT connaitre IMPÉRATIVEMENT. Et il y a le port 53, l'option EDNS, et toute une machinerie qui concerne les programmeurs et les administrateurs.
Dans le protocole TCP tu as le port d'une socket d'écoute, qui est généralement choisi par l'application et que l'application va manipuler. Et tu as le port éphémère qui presque toujours choisi par la couche TCP (contre exemple ici le port 20 du FTP) et que l'application n'a presque jamais de raison de regarder.
Le port éphémère n'est utilisé que pour de la numérologie à la con dans de rares protocoles mal conçus comme FTP. (Et pour interroger l'obsolète service Ident sur TCP/113)
Comme le port éphémère n'est presque jamais manipulé en couche applicative DONC on peut le manipuler sans soucis.
C'est pour ça que le NAPT marche plutôt bien.
-
Exemple repris sur le blog de Nicolargo :
http://blog.nicolargo.com/2008/04/ftp-actif-versus-ftp-passif.html
Le mode FTP actif
C'est le mode par défaut des clients FTP.
Ah oui?
Lesquels? La commande ftp de Windows?
À part ça, tous les clients utilisent le mode passif par défaut ou même ne peuvent utiliser que le mode passif (ce n'est pas configurable sur un navigateur Web).
Une fois la session établie et l'authentification FTP acceptée, c'est le serveur qui établi une session TCP (avec le port source 20, FTP-DATA) vers un port dynamique du client ("data channel").
Tu te fiches de moi?
Tu as lu ta propre source?
Elle confirme précisèment ce que j'écris - sauf pour le "par défaut", qui est un par "Pernaut".
-
N'importe quoi.
Ne parle pas de ce que tu connais pas du tout!
Cela fait quelques années que je gère des serveurs FTP ;)
Bon gérer est un bien grand mot, je les ai installés, ils marchent, et je ne revois pas souvent la configuration. Je ne me considère pas comme un spécialiste. Personnellement, j'utilise vsftpd, et voici le genre de choses que je mets dans la configuration :
# Limitation ports FTP passif
pasv_min_port=40000
pasv_max_port=40100
C'est équivalent à ce que donne le blog de Nicolargo pour proftpd. Tout cela pour dire qu'en passif, cela devrait normalement marcher, mais à voir avec ce partage de ranges de ports pour la même IP. C'est peut-être effectivement plutôt un problème de MTU en IPv4 (1474 à priori ?).
-
# Limitation ports FTP passif
pasv_min_port=40000
pasv_max_port=40100
C'est équivalent à ce que donne le blog de Nicolargo pour proftpd. Tout cela pour dire qu'en passif, cela devrait normalement marcher, mais à voir avec ce partage de ranges de ports pour la même IP.
Aucun impact pour le client.
Celui qui veut héberger un serveur FTP en revanche, doit effectivement choisir une plage de ports compatible avec celle que la Freebox a reçu (à moins qu'elle sache modifier la réponse à la commande PASV à la volée, je ne sais pas si nf_conntrack_ftp gère les serveurs).
-
Oui, il me semble que c'est les ports entrants pour la connexion data et non le port sortant (FTP étant un des seuls protocoles à obliger d'ouvrir deux connexions TCP pour télécharger un fichier)
-
La mule et les torrents utilisent beaucoup plus de 2 connexions TCP pour rapatrier un fichier.
-
Cela fait quelques années que je gère des serveurs FTP ;)
Bon gérer est un bien grand mot, je les ai installés, ils marchent, et je ne revois pas souvent la configuration. Je ne me considère pas comme un spécialiste.
Tu as configuré le FTP à un haut niveau sans t'occuper des détails protocolaires, ce qui est normal : il n'est pas nécessaire de connaitre par cœur des détails de ce protocole pour l'utiliser.
Personnellement, j'utilise vsftpd, et voici le genre de choses que je mets dans la configuration :
# Limitation ports FTP passif
pasv_min_port=40000
pasv_max_port=40100
C'est équivalent à ce que donne le blog de Nicolargo pour proftpd. Tout cela pour dire qu'en passif, cela devrait normalement marcher, mais à voir avec ce partage de ranges de ports pour la même IP.
Non, pas "à voir". Si le port source était un souci il ne pourrait ni ouvrir un session FTP ni poster sur lafibre.
C'est peut-être effectivement plutôt un problème de MTU en IPv4 (1474 à priori ?).
Oui, peut-être.
-
Le fait que la connexion ai échouée ? La capture est en PJ sur mon post. Je pense que le fait qu'il ai tenté de se connecter en passif donc avec une plage de ports définie par le serveur y est pour quelque chose. En IPv6 c'est OK, chez moi avec SFR en IPv4 aussi.
Tu te connectes toujours sur une plage de port définie par le serveur.
Pour poster ton message, tu t'es connecté sur la plage de ports [ 443; 433 ] (plage réduite à un seul port), le port étant définis par le serveur HTTP via une URL dont le schéma https: spécifie implicitement le port 443.
-
Le fait que la connexion ai échouée ? La capture est en PJ sur mon post. Je pense que le fait qu'il ai tenté de se connecter en passif donc avec une plage de ports définie par le serveur y est pour quelque chose. En IPv6 c'est OK, chez moi avec SFR en IPv4 aussi.
Dans Filezilla, il faut peut-être limiter les ports utilisables à la plage de la connexion
et se connecter en mode "Actif"
Un utilisateur en ZMD au Plessis Trévise n'arrivait pas à accéder à ses pages perso depuis Filezilla
il avait la première plage de ports et en l'indiquant dans Filezilla, tout est passé en utilisant le mode actif.
(sur le NewsGroup proxad.free.services.pagesperso utilisateur david le 11/03/2016 à 22:51:32 )
A tester.