FTPS FileZilla

Résolu/Fermé
-
 Benew -
Bonjour,

Je recpitule le chmilblik:

L'accès FilleZilla Server fonctionnait parfaitement en local et à distance.

Besoin de mettre en place SSL/TSL.

Mise en place local sans problèmes, connection SSL implicite et explique sans souci.

Distante -> erreur 425 Can't open data connection.

Log:
-------------------
Etat : Connexion à @IPdistante ...
Etat : Connecté avec @IPdistante, négotiation de la connexion SSL...
Réponse : 220-FileZilla Server version 0.9.18 beta
Réponse : 220-written by Tim Kosse (Tim.Kosse@gmx.de)
Réponse : 220 Please visit https://sourceforge.net/projects/filezilla/
Commande : AUTH SSL
Réponse : 234 Using authentication type SSL
Etat : Connexion SSL établie. Attente du message d'accueil...
Commande : USER identifiant
Réponse : 331 Password required for identifiant
Commande : PASS *****
Réponse : 230 Logged on
Commande : SYST
Réponse : 215 UNIX emulated by FileZilla
Commande : FEAT
Réponse : 211-Features:
Réponse : MDTM
Réponse : REST STREAM
Réponse : SIZE
Réponse : MLST type*;size*;modify*;
Réponse : AUTH SSL
Réponse : AUTH TLS
Réponse : UTF8
Réponse : CLNT
Réponse : 211 End
Commande : PBSZ 0
Réponse : 200 PBSZ=0
Commande : PROT P
Réponse : 200 Protection level set to P
Etat : Connecté
Etat : Récupération de la liste de répertoires...
Commande : PWD
Réponse : 257 "/" is current directory.
Commande : TYPE A
Réponse : 200 Type set to A
Commande : PORT 192,168,0,1,5,90 (@IP local, sa me parait anormal?)
Réponse : 200 Port command successful
Commande : LIST
Réponse : 150 Opening data channel for directory list.
Réponse : 425 Can't open data connection.
Erreur : N'a pas pu récupérer la liste du répertoire
-------------------

Sachant que:

En mettant le serveur en connection direct sur internet (enlever routeur et pare-feu) il n'y a aucun changement (même erreur) :pt1cable: .

Par contre en mettant la machine cliente en connection direct, la sa marche!!! :sweat:

Et tout cela en explicite aussi bien qu'en implicite pour la connection SSL.

donc j'imagine un problème de configuration (FTP ACTIF, PASSIF ?), je sais pas trop donc je demande votre aide :)

30 réponses

Je pense avoir trouvé un élément de réponse, j'ai mis dans la section :

Passive Mode Settings :
Sélectionné Use the following IP : xxx.host.com ou l'adresse IP si vous en avez une
ou sinon sélection retrieve external IP from ...

Puis juste en dessous Use custom port Range et mettre des valeur entre 60000 et 61000 par ex, prenez des ports assez haut, vous serez presque assuré qu'il ne seront pas utilisé par un autre programme.

Puis dans votre par feu ou routeur, il faut ouvrir ces ports pour votre serveur FTP en TCP.

Pour ma part ça a marché, j'ai pu me connecter et lister mon ftp...
Bonjour.

Ce post est vieux , meme trop vieux.

D'autre votre réponse n'est pas dans le sujet. Vous décrivez comment fonctionne de maniere "normale" un ftp.

Le sujet ici est le flitrage des échanges FTP crypptés par SSL. Or ceci est toujours insoluble dans la mesure ou le firewall ne saura jamais lire ce qui se passe dans le flux de données FTP (puisque c'est crypté...), donc il ne saura jamais jamais filtrer ce type de d'échange...

A+
Si le problème était un problème de filtrage des échanges réalisés en utilisant SSL/TLS, alors, j'affirme qu'il s'agit d'un faux problème. Ce problème n'existe pas à ma connaissance avec Filezilla Server. Le problème qui a été soulevé ou qui a été interprété comme un problème de filtrage est venu d'un mauvais paramétrage du mode passif du serveur. Comme je l'ai écrit précédemment Filezilla Server gère très bien les modes sécurisés (mieux que les banques car le chiffrage se réalise sur une clé à 4096 bits alors que les banques chiffrent à 128 ou 256 bits.
Les protocoles qui fonctionnent sont détaillés ci-dessus.
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
433
Filezilla Server sous windows ou linux, ne fait pas de différence ... d'autre part je ne mentionnais pas que le serveur tournait sous Linux ou Windows.

Maintenant, le site donné en lien n'aborde que la configuration de la partie SSL/TLS de filezilla , je ne voies pas de mentions quant aux installations en NAT et/ou avec firewall ...

Si tu mets ce type de serveur derrière un firewall ... ca ne passera pas ...

Je ne remettais pas en question les capacités TLS ou SSL de Filezilla, mais plutôt les contraintes que cela impose sur les systèmes filtrants en amont du serveur FTP...

Et à la lecture du premier post, on voit que c'est la seconde connexion qui ne passe pas ...

Je cite :


Mise en place local sans problèmes, connection SSL implicite et explique sans souci.

Distante -> erreur 425 Can't open data connection.


Le routeur/firewall est incapable de dire que le flux crypté qu'il voit est destiné au serveur FTP ...
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
433
il vaut mieux s'arrêter là ... le discours n'avance pas quoiqu'il arrive.

Attache toi à ce que tu croies ou penses croire, ça ne me dérange pas. Dommage que d'autres utilisateurs soient pris dans la confusion maintenant.


A bon entendeur.

Ps: Merci Brupala pour ton message :) Un bail que je ne t'avais pas vu :p
Bon l'accès anonyme sans mot de passe, c'était pour ne pas compliquer l'essai. On ne va quand même pas demander login et mot de passe pour un accès qui contient un fichier de bonjour.
Cà tourne derrière un modeur routeur avec pare-feu matériel et pare-feu logiciel, style toutes les box ou les modems routeurs de tous les fabriquants ; livebox, alice-box, neuf box, smc, dlink, cisco etc...
D'ailleurs, on peut se déplacer sans problème dans les répertoires etc... déposer un fichier dans le répertoire écriture etc.... les temps de réponse semblent rapides etc... pour un vieux pentium II.
La config est nickel. Donc çà tourne, mais il y a des peaux de bananes... et çà use les dents.
Quant au reste, sur le plan technique... cela m'importe peu de savoir comment se produit la compression, l'explosion etc.. sur un moteur pourvu que çà marche et que je sache qu'il faut mettre la clé de contact, lancer le moteur, passer une vitesse pour rouler.
Voilà, le problème semble résolu suite à la démonstration, çà fonctionne.
On revient toujours à la case départ : la configuration du serveur dans 99,99% des cas n'est pas parfaite.
Messages postés
101960
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 janvier 2022
13 394
A part nous parler de bagnoles,
comparaison tout à fait déplacée d'ailleurs,
on voit bien que tu ne comprends pas grand chose aux problèmes de nat et de firewall , pourtant l'essentiel est là .
Pas dans le serveur .
lire :
[edit] The firewall problem

Because FTP is a port-hopping protocol (i.e. data channels use a random port chosen during the communication), many firewalls are designed to understand FTP protocol messages to determine what secondary data connections they need to allow. However, if the control connection is encrypted using TLS/SSL (or any other method for that matter), the firewall is not able to get the port numbers of the data connections from the control connection (since it is encrypted and the firewall cannot decrypt it). Therefore, in many firewalled networks, clear FTP connections will work while FTPS connections will either completely fail or require the use of passive mode (assuming all ports >= 1024 to the server are unfiltered).

[edit] 

extrait de : https://en.wikipedia.org/wiki/FTPS
Tout à fait d'accord sur ce point avec une observation supplémentaire, ou deux observations supplémentaires qui sont un peu complémentaires : une âme bien pensante avec qui je m'entretenais de ce sujet me faisait la remarque suivante sur ce point : c'est un métier, ou quand l'on sait c'est toujours facile.
J'utiliserais une autre configuration imagée. Je me rapelle de cette remarque en aviation où l'on disait que l'atterissage était plus délicat que le décollage. Quant cela fut avancé, je me rapelle les propos d'un instructeur qui disait toujours : le plus délicat ou le plus dur ce n'est pas l'atterrissage, c'est de bien présenter son avion à l'atterissage. Et il expliquait le pourquoi.
Les gens se figurent en informatique que çà doit marcher tout seul alors qu'il y a des phases de mise en place ou de préparation. Ensuite, ils mettent en cause le programme alors que le programme n'y est pour rien... bref l'on pourrait disserter sans discontinuer sur le ou les sujets car tout est dans tout...
L'avantage en informatique est le suivant : quand il y a un bug, il finit toujours par être découvert et signalé assez rapidement.
Messages postés
101960
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 janvier 2022
13 394
l'avantage de l'informatique c'est qu'on peut tenter l'atterrissage sans trop prendre de risque pour son matériel et pour la vie des passagers .
d'où toutes les questions ici où les gens viennent parfois demander comment on sort le train d'atterrissage après le crash .
mais, tu as raison,
la préparation est nécessaire à toute action et devient indispensable si l'action en question comporte un risque pour ceux qui y participent .
PS,
on est carrément hors sujet .
Messages postés
389
Date d'inscription
mardi 10 janvier 2006
Statut
Membre
Dernière intervention
17 mai 2018
51
j'ai eu une erreur aussi sur la cmd LIST et ca a marché apres une config en mode passif
Même problème en passif :(

Tu pourrai m'expliquer comment ta fait ?
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
433
Salut,

Il est impossible de filtrer des connexions sur un serveur FTP avec SSL/TLS.

Ceci est du au fait que la seconde connexion "de données" est cryptée, et le firewall est incapable de voir ce qui s'y passe , donc il bloque la connexion....

Ce problème est insoluble et c'est tout.

Ce type d'installation marche tres bien en local (ou en direct), ou en désactivant tout système de pare feu / et de routage.


D'autre part , pourquoi crypter un transfert FTP si on enlève une sécurité de filtrage .... ?

Si tu veux transférer des fichiers de manières sécurisées, donc chiffrées, appuies toi sur du SSH, mais pas sur FTP.

a+

Bonjour,
J'ai unréseau wifi via la nheuf box4. j'ai installé un disque dur externe sur usb2 de la neuf box pour le partager avec deux autres ordi en wifi. le partage des fichiiers est bien activé, le disque dur externe reconnu. j'ai installé filezilla avec la procédure et j'ai le message suivant lors de la connexion: Récupération de la liste de répertoires...impossible de récupérer la liste des répertoires le canal de transfert est fermé...
Qui peut m'aider
didier
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
433
Bonjour,

Ce post n'est pas approprié à votre souci.

Veuillez en créer un nouveau. Merci

(d'autre part on n'utilise pas FTP pour accéder à un disque ou le partage de fichier est activé .... mais le voisinnage réseau ...)

a+
Bonjour,
j'ai un souci avec Filezilla, je peux me connecter, mais il est impossible de recevoir la liste et le message "425 Can't open data connection." apparait, je voulais savoir si il faut que je me mettte en mode passif ou en actif ? le serveur et le client ? De plus j'utilise Norton internet security je j'aurai voulu savoir quels ports dois je ouvrir en plus des ports 20 et 21 habituels
Laventin
merci
j'ai le meme probleme, quelqu'un a t il la solution?

je n'arrive pas à acceder le disque connecté sur la neufbox avec filezilla

merci
Salut tout le monde,

J'utilise filezilla, no-ip et ai configuré tous mes ports a la maniere www.portforward.com ca marche en local, mais apparemment quand je demande a un pote a qui j'ai creer un compte si mon serveur ftp fonctionne il me dit qu'il y accède mais qu'il n'y a rien et un autre me dit qu'il obtient le message comme vous d'ailleurs "can't open data connexion" ... voilà ca fait trois jours que je lute je pense que ma config NAT sur livebox est correct j'utilise Kaspersky 7 ... je suis fané quelqu'un aurait il la soluce ??? ou du moins des idées ...

Merci beaucoup à tous ...

MyV

salut a tous, j'ai l'impression que vous vous y connaissez cic. Donc voila ma question. J4Au une Neufbox4, un pc relié en ethernet et un autre en wifi. Je partage un dd branché en usb sur la NEufBox. ça marche impec pour mes deux pc. Mais voila je voudrais partager ce même dd branché sur le neufbox avec ma belle soeur qui habite aillleur bien évidement :-).
Cela est il possible? et comment ??? merci a tous
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
433
Oui ?

La problématique était ici un problème de filtrage sur des transactions FTP utilisant SSL/TLS.

A travers un firewall, ce problème est insoluble, en local ça marche très bien ... cf le premier post.

Ou le lien avec des neuf box ici :s ?
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
433
J'aimerai bien voir ça :)

Le chiffrage de la connexion de données, un parefeu ne peut rien y faire. La seconde connexion sera systématiquement filtrée, car le pare feu est incapable de voir ce qui s'y passe, et donc de prévoir l'ouverture des ports pour la seconde connexion de données .... (Sous linux on utilise l'état RELATED).

Je n'ai jamais dit que le chiffrement n'est pas possible, mais juste avoir un parefeu qui pose problème .... et ce peu importe le type de serveur FTP.

Messages postés
101960
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 janvier 2022
13 394
Salut,
tout à fait , passer un nat dynamique est pratiquement impossible en ftps car le routeur est incapable de lire le numéro de port à forwarder dans la commande port en ftp normal ou dans la réponse à la commande passive en mode passif ces commandes étant cryptées .
La seule solution est de mapper une liste de ports comme ça a été dit plus haut et de la configurer dans la liste du serveur .
Sftp sous ssh ne pose pas ce problème car seul le port ssh est utilisé pour les commandes et les données .
Messages postés
101960
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 janvier 2022
13 394
en fait, la solution de Prometee était juste:
forwarder une plage de ports dans le routeur nat , indiquer au serveur de les utiliser pour son mode passif , aussi configurer l'adresse publique dans le mode passif et les clients pourront normalement se connecter en mode passif (uniquement).
car ainsi, le routeur nat n'a pas besoin de comprendre les commandes ftp .
idem pour un firewall , il faudrait ouvrir ces ports là avec destination l'ip du serveur .
sinon, en mode normal, il faudrait faire cette manip là coté client ... dur dur pour eux .
Je maintiens et je persiste. et pour vous prouver, j'ai monté un petit ftp qui répond à ftp://jules1.ath.cx
Vous pouvez vous y connecter en utilisant les connexions cryptées et sécurisées. Vous aurez un certificat qui vous sera proposé.
Vous venez par le port 21. Vous devez utiliser le chiffrement explicite.FTP sur SSL (Chiffrement explicite) ou FTP sur TLS (Chiffrement explicite).
Le protocole : FTP sur SSL/TLS (Chiffrement implicite) fonctionne également, mais il utilise une autre procédure qu'il ne m'appartient pas de vous dévoiler.
On revient toujours à la config du serveur. Tout le monde pense qu'il est bien configuré alors qu'il ne l'est pas.
Essayez et vous verrez.
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
433
J'aimerai juste être curieux de voir le coté filtrage en amont du serveur ...

C'est juste le coté intéressant de la chose ... maintenant si la machine est directe sur le net, ou que le firewall ne s'attarde pas sur l'état des paquets ...

L'initial problème venait sur une config avec routeur et firewall en amont ...

Là, ton 'lien' ne m'apporte aucune infos sur le filtrage en amont donc bon ...

D'autre part c'est un peu dommage de mettre un accès anonyme sur un FTP qui utilise du chiffrement :)

Si tu veux voir de quoi je parle, mets un système de filtrage avancé en amont du ftp, avec état de paquets, et bien évidemment avec du NAT dynamique.


Ciao
Messages postés
3045
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
21 décembre 2021
433
Merci Brupala pour cet extrait.

assuming all ports >= 1024 to the server are unfiltered

Je préfère garder un système de filtrage sur ces ports et perdre la capacité de chiffrer mes échanges FTP :)
Messages postés
101960
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
26 janvier 2022
13 394
on peut en ouvrir juste une portion (une centaine par exemple) et dire au serveur de n'utiliser que ceux là .
http://www.commentcamarche.net/forum/affich 2427253 ftps filezilla#4
http://www.commentcamarche.net/forum/affich 2427253 ftps filezilla#28