FTPS FileZilla Résolu/Fermé

Question

Bonjour,

Je recpitule le chmilblik:

L'accès FilleZilla Server fonctionnait parfaitement en local et à distance.

Besoin de mettre en place SSL/TSL.

Mise en place local sans problèmes, connection SSL implicite et explique sans souci.

Distante -> erreur 425 Can't open data connection.

Log:
-------------------
Etat :	Connexion à @IPdistante ...
Etat :	Connecté avec @IPdistante, négotiation de la connexion SSL...
Réponse :	220-FileZilla Server version 0.9.18 beta
Réponse :	220-written by Tim Kosse (Tim.Kosse@gmx.de)
Réponse :	220 Please visit https://sourceforge.net/projects/filezilla/
Commande :	AUTH SSL
Réponse :	234 Using authentication type SSL
Etat :	Connexion SSL établie. Attente du message d'accueil...
Commande :	USER identifiant
Réponse :	331 Password required for identifiant
Commande :	PASS *****
Réponse :	230 Logged on
Commande :	SYST
Réponse :	215 UNIX emulated by FileZilla
Commande :	FEAT
Réponse :	211-Features:
Réponse :	 MDTM
Réponse :	 REST STREAM
Réponse :	 SIZE
Réponse :	 MLST type*;size*;modify*;
Réponse :	 AUTH SSL
Réponse :	 AUTH TLS
Réponse :	 UTF8
Réponse :	 CLNT
Réponse :	211 End
Commande :	PBSZ 0
Réponse :	200 PBSZ=0
Commande :	PROT P
Réponse :	200 Protection level set to P
Etat :	Connecté
Etat :	Récupération de la liste de répertoires...
Commande :	PWD
Réponse :	257 "/" is current directory.
Commande :	TYPE A
Réponse :	200 Type set to A
Commande :	PORT 192,168,0,1,5,90                                    (@IP local, sa me parait anormal?)
Réponse :	200 Port command successful
Commande :	LIST
Réponse :	150 Opening data channel for directory list.
Réponse :	425 Can't open data connection.
Erreur :	N'a pas pu récupérer la liste du répertoire
-------------------

Sachant que:

En mettant le serveur en connection direct sur internet (enlever routeur et pare-feu) il n'y a aucun changement (même erreur)  :pt1cable: .

Par contre en mettant la machine cliente en connection direct, la sa marche!!!   :sweat: 

Et tout cela en explicite aussi bien qu'en implicite pour la connection SSL.

donc j'imagine un problème de configuration (FTP ACTIF, PASSIF ?), je sais pas trop donc je demande votre aide :)

Prometee · Accepted Answer

Je pense avoir trouvé un élément de réponse, j'ai mis dans la section :

Passive Mode Settings :
Sélectionné Use the following IP : xxx.host.com ou l'adresse IP si vous en avez une
ou sinon sélection retrieve external IP from ...

Puis juste en dessous Use custom port Range et mettre des valeur entre 60000 et 61000 par ex, prenez des ports assez haut, vous serez presque assuré qu'il ne seront pas utilisé par un autre programme.

Puis dans votre par feu ou routeur, il faut ouvrir ces ports pour votre serveur FTP en TCP.

Pour ma part ça a marché, j'ai pu me connecter et lister mon ftp...

andre.h · Answer

j'ai eu une erreur aussi sur la cmd LIST et ca a marché apres une config en mode passif

xdaguex · Answer

Même problème en passif :(

Tu pourrai m'expliquer comment ta fait ?

kelux · Answer

Salut,

Il est impossible de filtrer des connexions sur un serveur FTP avec SSL/TLS.

Ceci est du au fait que la seconde connexion "de données" est cryptée, et le firewall est incapable de voir ce qui s'y passe , donc il bloque la connexion....

Ce problème est insoluble et c'est tout.

Ce type d'installation marche tres bien en local (ou en direct), ou en désactivant tout système de pare feu / et de routage.


D'autre part , pourquoi crypter un transfert FTP si on enlève une sécurité de filtrage .... ?

Si tu veux transférer des fichiers de manières sécurisées, donc chiffrées, appuies toi sur du SSH, mais pas sur FTP.

a+

dol · Answer

Bonjour, 
J'ai unréseau wifi via la nheuf box4. j'ai installé un disque dur externe sur usb2 de la neuf box pour le partager avec deux autres ordi en wifi. le partage des fichiiers est bien activé, le disque dur externe reconnu. j'ai installé filezilla avec la procédure et j'ai le message suivant lors de la connexion: Récupération de la liste de répertoires...impossible de récupérer la liste des répertoires le canal de transfert est fermé... 
Qui peut m'aider
didier

kelux · Answer

Bonjour,

Ce post n'est pas approprié à votre souci.

Veuillez en créer un nouveau. Merci

(d'autre part on n'utilise pas FTP pour accéder à un disque ou le partage de fichier est activé .... mais le voisinnage réseau ...)

a+

Laventin · Answer

Bonjour, 
j'ai un souci avec Filezilla, je peux me connecter, mais il est impossible de recevoir la liste et le message "425 Can't open data connection." apparait, je voulais savoir si il faut que je me mettte en mode passif ou en actif ? le serveur et le client ? De plus j'utilise Norton internet security je j'aurai voulu savoir quels ports dois je ouvrir en plus des ports 20 et 21 habituels 
Laventin
merci

mike72 · Answer

j'ai le meme probleme, quelqu'un a t il la solution?

je n'arrive pas à acceder le disque connecté sur la neufbox avec filezilla

merci

MyV · Answer

Salut tout le monde,

J'utilise filezilla, no-ip et ai configuré tous mes ports a la maniere www.portforward.com ca marche en local, mais apparemment quand je demande a un pote a qui j'ai creer un compte si mon serveur ftp fonctionne il me dit qu'il y accède mais qu'il n'y a rien et un autre me dit qu'il obtient le message comme vous d'ailleurs "can't open data connexion" ... voilà ca fait trois jours que je lute je pense que ma config NAT sur livebox est correct j'utilise Kaspersky 7 ... je suis fané quelqu'un aurait il la soluce ??? ou du moins des idées ...

Merci beaucoup à tous ...

MyV

princedestex · Answer

salut a tous, j'ai l'impression que vous vous y connaissez cic. Donc voila ma question. J4Au une Neufbox4, un pc relié en ethernet et un autre en wifi. Je partage un dd branché en usb sur la NEufBox. ça marche impec pour mes deux pc. Mais voila je voudrais partager ce même dd branché sur le neufbox avec ma belle soeur qui habite aillleur bien évidement :-).
Cela est il possible? et comment ??? merci a tous

raynau · Answer

Très intéressants ces posts, on y trouve de tout comme au marché persan, mais le marché persan n'est-il pas très intéressant.
Essayons d'avancer non pas dans l'ordre de la discussion, mais en ordre.
a) la configuration classique du serveur qui n'est pas réalisée correctement, il en résulte une impossibilité de connexion ou de listage des fichiers mis à disposition. Il y a des pages consacrées sur le net sur ce sujet. Ceux qui veulent chercher trouveront sans problème
b) Il y a le problème de la neuf-box : cela n'a rien à voir comme c'est justement avancé avec un serveur Ftp, c'est tout simplement du réseau local. Que le disque soit relié au micro ou à la neuf-box, l'accès est peut-être différent (je ne sais pas comment çà marche), mais c'est un peu le même principe. 
c) Il y a enfin, sujet beaucoup plus passionnant (qui en fait me passionne), le problème des échanges sécurisés et cryptés. Filezilla Serveur reconnait plusieurs protocoles pour les échanges sécurisés. Ce qui est avancé précédemment est partiellement vrai et partiellement faux : tout le monde sera content...
Filezilla server gère (à ma connaissance le chiffrement avec les protocoles suivants :
FTP sur SSL/TLS (Chiffrement implicite)
FTP sur SSL (Chiffrement explicite)
FTP sur TLS (Chiffrement explicite)
par contre, je ne crois pas qu'il puisse gérer le SFTP en utilisant SSH2, qui lui se réalise sur un autre port différent des ports standards. Cette option est prévue dans Filezilla Client car il s'agit d'un protocole qui est peut-être utilisé uniquement sur les serveurs apache. 
Ce protocole SFTP en utilisant SSH2 est d'ailleurs utilisé par de nombreux hébergeurs afin que les logins et mots de passe ne puissent être interceptés au passage.

kelux · Answer

Oui ?

La problématique était ici un problème de filtrage sur des transactions FTP utilisant SSL/TLS.

A travers un firewall, ce problème est insoluble, en local ça marche très bien ... cf le premier post.

Ou le lien avec des neuf box ici :s ?

raynau · Answer

Si le problème était un problème de filtrage des échanges réalisés en utilisant SSL/TLS, alors, j'affirme qu'il s'agit d'un faux problème. Ce problème n'existe pas à ma connaissance avec Filezilla Server. Le problème qui a été soulevé ou qui a été interprété comme un problème de filtrage est venu d'un mauvais paramétrage du mode passif du serveur. Comme je l'ai écrit précédemment Filezilla Server gère très bien les modes sécurisés (mieux que les banques car le chiffrage se réalise sur une clé à 4096 bits alors que les banques chiffrent à 128 ou 256 bits.
Les protocoles qui fonctionnent sont détaillés ci-dessus.

kelux · Answer

J'aimerai bien voir ça :)

Le chiffrage de la connexion de données, un parefeu ne peut rien y faire. La seconde connexion sera systématiquement filtrée, car le pare feu est incapable de voir ce qui s'y passe, et donc de prévoir l'ouverture des ports pour la seconde connexion de données .... (Sous linux on utilise l'état RELATED).

Je n'ai jamais dit que le chiffrement n'est pas possible, mais juste avoir un parefeu qui pose problème .... et ce peu importe le type de serveur FTP.

raynau · Answer

Cà marche très bien sous windows. Nous avons testé à partir des descriptions avancées à partir de cette page :
http://www.lecochonsideral.info/...
Sous linux, il m'est impossible de savoir, mais à priori, çà devrait marcher également.
Certes c'est assez récent comme publication.

kelux · Answer

Filezilla Server sous windows ou linux, ne fait pas de différence ... d'autre part je ne mentionnais pas que le serveur tournait sous Linux ou Windows.

Maintenant, le site donné en lien n'aborde que la configuration de la partie SSL/TLS de filezilla , je ne voies pas de mentions quant aux installations en NAT et/ou avec firewall ...

Si tu mets ce type de serveur derrière un firewall ... ca ne passera pas ...

Je ne remettais pas en question les capacités TLS ou SSL de Filezilla, mais plutôt les contraintes que cela impose sur les systèmes filtrants en amont du serveur FTP...

Et à la lecture du premier post, on voit que c'est la seconde connexion qui ne passe pas ...

Je cite :


Mise en place local sans problèmes, connection SSL implicite et explique sans souci.

Distante -> erreur 425 Can't open data connection. 

Le routeur/firewall est incapable de dire que le flux crypté qu'il voit est destiné au serveur FTP ...

raynau · Answer

Normal que le point ne soit pas abordé pour la bonne raison que la page concernée est uniquement destinée à la configuration des échanges cryptés et sécurisés.
Les échanges cryptés et sécurisés ne sont en fait qu'un protocole particulier.
Le problème rencontré plus haut vient à mon point de vue de la configuration du serveur. Ce point est d'ailleurs abordé dans la page de présentation : je recopie : " D'abord, il est inutile que vous mettiez en oeuvre toute la procedure qui sera ultérieurement décrite si votre serveur n'est pas correctement configuré en mode passif."
En parcourant les autres pages, notamment la page de présentation : http://www.lecochonsideral.info/Reserve/Filezilla-Server-presentation.html on y retrouve les mêmes propos.
Je sais que çà a été testé et que çà marche.
Le problème classique est le suivant : la configuration n'est pas parfaite et un jour ou l'autre, çà plante. Et il n'y a pas de problème avec un modem-routeur lorsque la configuration est correcte. Mais on revient toujours au même problème : les gens à 99,99% ne savent pas configurer correctement un serveur Ftp. Ce n'est pas parce que çà marche aujourd'hui que la configuration est correcte. C'est l'exemple du moteur de voiture qui explose ou qui ne marche plus après 800 ou 3000 kilomètres. Mais çà les gens ne veulent pas le comprendre. Un moteur diesel va démarrer et faire 10 kilomètres avec de l'essence, puis çà va bloquer.
A lire le post plus haut : erreur 425 Can't open data connection : c'est typique et classique d'une mauvaise configuration du serveur Ftp. 
Mais là on revient à la case départ.
Il lui faut configurer le serveur correctement et le lien est indiqué.

kelux · Answer

il vaut mieux s'arrêter là ... le discours n'avance pas quoiqu'il arrive.

Attache toi à ce que tu croies ou penses croire, ça ne me dérange pas. Dommage que d'autres utilisateurs soient pris dans la confusion maintenant.


A bon entendeur.

Ps: Merci Brupala pour ton message :) Un bail que je ne t'avais pas vu :p

raynau · Answer

Je maintiens et je persiste. et pour vous prouver, j'ai monté un petit ftp qui répond à ftp://jules1.ath.cx
Vous pouvez vous y connecter en utilisant les connexions cryptées et sécurisées. Vous aurez un certificat qui vous sera proposé.
Vous venez par le port 21. Vous devez utiliser le chiffrement explicite.FTP sur SSL (Chiffrement explicite) ou FTP sur TLS (Chiffrement explicite).
Le protocole : FTP sur SSL/TLS (Chiffrement implicite) fonctionne également, mais il utilise une autre procédure qu'il ne m'appartient pas de vous dévoiler.
On revient toujours à la config du serveur. Tout le monde pense qu'il est bien configuré alors qu'il ne l'est pas.
Essayez et vous verrez.

kelux · Answer

J'aimerai juste être curieux de voir le coté filtrage en amont du serveur ...

C'est juste le coté intéressant de la chose ... maintenant si la machine est directe sur le net, ou que le firewall ne s'attarde pas sur l'état des paquets ...

L'initial problème venait sur une config avec routeur et firewall en amont ...

Là, ton 'lien' ne m'apporte aucune infos sur le filtrage en amont donc bon ...

D'autre part c'est un peu dommage de mettre un accès anonyme sur un FTP qui utilise du chiffrement :)

Si tu veux voir de quoi je parle, mets un système de filtrage avancé en amont du ftp, avec état de paquets, et bien évidemment avec du NAT dynamique.


Ciao

raynau · Answer

Bon l'accès anonyme sans mot de passe, c'était pour ne pas compliquer l'essai. On ne va quand même pas demander login et mot de passe pour un accès qui contient un fichier de bonjour.
Cà tourne derrière un modeur routeur avec pare-feu matériel et pare-feu logiciel, style toutes les box ou les modems routeurs de tous les fabriquants ; livebox, alice-box, neuf box, smc, dlink, cisco etc...
D'ailleurs, on peut se déplacer sans problème dans les répertoires etc... déposer un fichier dans le répertoire écriture etc.... les temps de réponse semblent rapides etc... pour un vieux pentium II.
La config est nickel. Donc çà tourne, mais il y a des peaux de bananes... et çà use les dents.
Quant au reste, sur le plan technique... cela m'importe peu de savoir comment se produit la compression, l'explosion etc.. sur un moteur pourvu que çà marche et que je sache qu'il faut mettre la clé de contact, lancer le moteur, passer une vitesse pour rouler.
Voilà, le problème semble résolu suite à la démonstration, çà fonctionne.
On revient toujours à la case départ : la configuration du serveur dans 99,99% des cas n'est pas parfaite.

kelux · Answer

Merci Brupala pour cet extrait.

assuming all ports >= 1024 to the server are unfiltered

Je préfère garder un système de filtrage sur ces ports et perdre la capacité de chiffrer mes échanges FTP :)

raynau · Answer

Les comparaisons sont toujours utiles et valent souvent plus que des explications techniques auxquelles les trois quarts des gens ne comprennent rien.
Je ne me masturbe pas la cervelle pour savoir comment fonctionne un moteur ou comment est monté le système de filtrage des ports, de routeurs nat etc... ce n'est pas mon problème. Mon problème c'est de faire tourner un serveur ftp en mode passif, actif, sécurisé et non sécurisé. Il ne m'appartient pas de concevoir le programme mais de le faire tourner en fonction de ce que l'on met à ma disposition : un programme de serveur, des modem routeur etc..., bref que les gens puissent se connecter à distance avec une connexion internet pour venir chercher des fichiers ou en déposer.
Ce qui nous intéresse c'est la configuration au niveau du serveur et du matériel utilisé pour la liaison internet.
Quels sont les paramètres qu'il faut renseigner dans le programme fourni ?
Quels sont les paramètres qu'il faut insérer dans le matériel ?
Voilà les questions.
Le reste, je laisse çà à ceux qui connaissent. 
Mais la config, j'ai lu, j'ai suivi et çà marche. 

Le serveur Ftp fonctionne en actif, en passif, en sécurisé et en non sécurisé. Bref, que du bonheur.

Le reste, ce n'est pas ma salade. Cette salade là, c'est le domaine de ceux qui conçoivent. Et à mon point de vue le programme est fort bien conçu car il fonctionne correctement. Nous sommes là pour utiliser un point c'est tout.
J'en conclus, preuve à l'appui que Filezilla Server gère correctement les connexions cryptées et sécurisées et que le problème posé précédemment est résolu. Le serveur n'était pas configuré correctement.

Bref pour revenir à ma voiture :
1°) Vous mettez la clé de contact, vous tournez pour lancer le démarreur. Vous relâchez quand le moteur tourne. 
2°) Vous débrayez, passez une vitesse, relachez l'embrayage, accélérez légèrement.
3°) Vous devez avancer, sinon c'est que l'embrayage est mort.

Pourquoi l'embrayage est mort etc.... c'est le problème du mécanicien, pas du conducteur.
Nous sommes chargés de conduire un programme comme les conducteurs.

Dans le même domaine, j'ai même lu un jour sur des forums que la neuf box ne gérait pas correctement le ftp etc... bref que des âneries.

Filezilla server gère (à ma connaissance le chiffrement avec les protocoles suivants : 
FTP sur SSL/TLS (Chiffrement implicite) 
FTP sur SSL (Chiffrement explicite) 
FTP sur TLS (Chiffrement explicite) 
Et si çà ne marche pas, c'est que le serveur n'est pas configuré correctement.
Les gens disent : les tuiles ou les ardoises ne tiennent pas, c'est normal si la charpente n'est pas correcte.
Bon, je crois qu'il est bon de passer à autre chose.

kelux · Answer

Justement la charpente ici est certainement le système de routage et de filtrage :)

Mais bizarrement, je n'ai toujours pas réponse à mon interrogation sur ton système de filtrage ... juste une "diarrhée verbale".

Désolé si le mot est un peu fort... soit ...

kelux · Answer

Je viens de monter une maquette, server - routeur - client

Le routeur est une debian, avec un NAT (masquerade) qui cache le réseau où il y a le serveur. Serveur sous W2003 et client XP ( le tout avec Filezilla server et le client associé). J'ai testé le chiffrement explicite seulement (FTPES).

Il faut en effet mapper une plage de port pour le passif , comme un cas typique de ftp passif sans filtrage hein ... rien de bien nouveau en tout cas...

Par contre il est impossible de matcher les états des paquets, donc la gamme de port est complètement ouverte comme une autoroute.  Je suis obligé de laisser la plage complètement ouverte, sinon la connexion de data n'arrive effectivement pas... (on s'en doutait mais bon, on nous fait répéter)

Ca permet donc à des gens de se connecter sur ces ports mappés sans avoir au préalable initié une connexion FTP ... et c'est bien là le problème.

En non chiffré, les états de paquets fonctionnent , en autorisant uniquement un client qui a engagé une connexion FTP au préalable. (oh sans blagues ?)

Donc, je maintiens ce que je dis, je ne laisse pas la porte ouverte comme ça, même s'il y a du chiffrement derrière, il y a un trou de sécurité plus grave en amont ...

Cela ne sert a rien de chiffrer si c'est pour perdre en sécurité.

-

Donc dans le cas ou les gens n'ont pas de plage de ports pour le passif, ils vont ouvrir tous les ports 1024> sans considérer l'état des paquets ... aille aille aille ...

En effet, ça restera insoluble pour un firewall de savoir si la connexion chiffrée fait référence à la connexion pré établie sur le port 21 ...

kelux · Answer

Test avec implicite, juste une différence :

Pour l'implicite, on n'utilise plus le port TCP 21, mais le port TCP 990.

A première vue l'état de paquets peut être utilisé pour filtrer cette première connexion. Donc les règles sont identiques que pour le port standard...

Ca ne change pas le problème de filtrage rencontré en explicite.

raynau1 · Answer

Navré, mais je maintiens et je persiste car les tests ont tous été concluants. Filezilla Server fonctionne correctement en actif et en passif en sécurisé et non sécurisé. C'est à dire que la même personne venant de l'extérieur peut utiliser le mode actif, passif, sécurisé ou non sécurisé.
Le seul type de connexion qui n'est pas accepté par ce serveur est le mode SFTP en utilisant SSH2 qui lui fonctionne sur le port 22.
Quant au reste si vous rencontrez des problèmes et bien cela vient tout simplement du fait que votre serveur n'est pas correctement paramétré ou que votre configuration générale n'est pas correcte.

raynau · Answer

Tout à fait d'accord sur ce point avec une observation supplémentaire, ou deux observations supplémentaires qui sont un peu complémentaires : une âme bien pensante avec qui je m'entretenais de ce sujet me faisait la remarque suivante sur ce point : c'est un métier, ou quand l'on sait c'est toujours facile.
J'utiliserais une autre configuration imagée. Je me rapelle de cette remarque en aviation où l'on disait que l'atterissage était plus délicat que le décollage. Quant cela fut avancé, je me rapelle les propos d'un instructeur qui disait toujours : le plus délicat ou le plus dur ce n'est pas l'atterrissage, c'est de bien présenter son avion à l'atterissage. Et il expliquait le pourquoi.
Les gens se figurent en informatique que çà doit marcher tout seul alors qu'il y a des phases de mise en place ou de préparation. Ensuite, ils mettent en cause le programme alors que le programme n'y est pour rien... bref l'on pourrait disserter sans discontinuer sur le ou les sujets car tout est dans tout...
L'avantage en informatique est le suivant : quand il y a un bug, il finit toujours par être découvert et signalé assez rapidement.

raynau · Answer

L'image me plait à 150%, et je n'y avais pas pensé. Mais nous ne sommes pas hors sujet.... çà permettra peut-être à certains de prendre un peu de temps pour la réflexion.
On pourrait même aller plus loin : je suis en vol, je n'ai plus de carburant ... comment on fait pour sortir le train d'atterrissage ?. 
Et en informatique, çà m'est également arrivé .....

Socrate · Answer

Bonjour,

Je cherche à comprendre si hormis la couche SSL pour le FTPS est la seule chose qui le différencie du FTP. Si non ou puis je trouver de l'info détaillée sur FTPS . 
Merci ;

FTPS FileZilla

30 réponses

Discussions similaires