FTP et TLS [Résolu/Fermé]

Signaler
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
-
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
-
Bonjour,

Voila, j'ai mis en place un serveur FTP dans une DMZ, mais lorsque je veux me connecter avec l'authentification TLS, ça bloque... Je ne comprend pas vraiment pourquoi!!! TLS passe aussi par le port 21, le serveur fonctione en mode passif et les ports hauts sont ouverts (de ce coté tout roule, car sans TLS ça passe...).
Quelqu'un peu m'expliqué pourquoi, ou comment permettre l'authentification TLS!!!
Merci!

9 réponses

Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 249
Ton serveur FTP supporte-t-il TLS ?

Normalement le port pour SFTP est le port 22 (le même que ssh) ou 115.
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
23
Oui, serveur Filezilla, l'authentification TLS était ok lorsque mon serveur n'étais pas dans la dmz mais dans le LAN, et que mes clients étaint dans le LAN biensur...

Différence entre SFTP : SSH FTP, ou ce n'est pas vraiment du FTP mais un transfert de fichiers via un tunnel SSH (d'ou le port 22...)
et FTPS : FTP over SSL/TLS : du TP pur et dur avec une couche SSL/TLS... (port 21!)
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 249
Ah oui pardon, je mélange.

En principe avec du FTP (mai je ne sais pas si c'est pareil en FTPS), si tu fais la connection sur le port 21 du serveur en FTP non passif il y a une connexion retour du serveur vers le client sur le port 20.

Avec un serveur en DMZ, cette connexion retour ne fonctionne plus (puisque la DMZ empêche le serveur d'accéder au réseau local).

Il faudrait ouvrir le firewall pour autoriser le serveur à se connecter sur le port 20 de n'importe quelle machine du LAN, mais du coup ça diminue un peu l'intérêt de la DMZ, non ?

Dans ce cas, pourquoi pas passer carrément à du SFTP ? Il n'y a qu'une connexion du client vers le serveur, et c'est bon pour les DMZ.
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
23
Mon serveur est en passif, j'ai donc ouvert un plage de ports haut...
Mais je crois savoir ou est le pb? le firewall ne traiterai pas les données crypté par SSL/TLS à travers le port 21...
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 249
Mais je crois savoir ou est le pb? le firewall ne traiterai pas les données crypté par SSL/TLS à travers le port 21...

Ton firewall filtre à un niveau aussi haut ? Généalement les firewall ne filtrent qu'au niveau port/ip/etat du paquet, pas au niveau du contenu des paquets.
C'est un firewall ou un proxy ?
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
23
Firewall WatchGuard Firebox 700, un truc de pro... Je vois pas d'autres explications...
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 249
Ah oui... d'après leur site, il filtre effectivement au niveau applicatif. Beau joujou.

A mon avis, il détecte SSL comme un traffic non standard sur un port censé être réservé au FTP et coupe.

Bon ben reste plus qu'à contacter celui qui administre le biniou et lui demander de modifier les règles.
Messages postés
87
Date d'inscription
lundi 17 mars 2008
Statut
Membre
Dernière intervention
23 juin 2008
9
Si ca peut aider, entre le firewall et le proxy, un seul de ces deux est "autorisé" à reconstituer le paquet pour le valider. Mais me souviens plus duquel des deux oOO
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
23
sebsauvage
C'est moi qui administre le "Joujou", j'ai accès a tout, mais quoi modifier???!!!

snouts
J'ai pas de proxy!!!
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 249
C'est moi qui administre le "Joujou", j'ai accès a tout, mais quoi modifier???!!!

Où là, mais je ne sais absolument pas comment on configure un "Firewall WatchGuard Firebox 700" !
Là il faut regarder la doc du routeur.

Je pense que dans les règles par défaut, il doit examiner le traffic sur le port 21 et couper tout ce qui ne ressemble pas à du FTP pur.
Il faut donc assouplir cette règle.
Messages postés
385
Date d'inscription
vendredi 1 février 2008
Statut
Membre
Dernière intervention
3 avril 2009
23
Bah écoute, j'ai parcouru la doc du routeur, qui est totalement naze... Et c'est pasmieu sur leur site internet...
J'ai déja fai 2 fois le tour diu logiciel d'administration ,sans résultats concluants...
On verra par la suite!!
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 249
Bon courage !