Hello again !

Je suis assez demandeur en ce moment sur les questions techniques, mais je me suis déjà mis à répondre sur certains topics histoire d'avoir bonne conscience et de montrer que c'est pas à sens unique

Bon, ça, c'est fait...



Je vous explique :

J'ai installé FileZilla FTP server sur une bécane, raccordée à un routeur Linksys WRT54GC. Ce routeur est lui même connecté à un hub 3com, puis raccordé au modem/routeur du voisin avec qui il partage sa connexion. Ce setup est préféré pour ne pas toucher au réseau du voisin, assurer l'indépendance, la sécurité et l'intimité des deux réseaux.

J'ai bien sur ouvert les ports TCP 20 et 21 sur les 2 routeurs.
Le serveur est accessible depuis le réseau situé en aval du Linksys, même en mode PASV mais pas depuis l'extérieur. Je pense donc que le problème doit venir du Speedstream. Il me faut encore tester si ça marche depuis l'autre réseau local (auquel cas le linksys pourrait etre mis en cause).



Deux questions essentielles :

- dois je configurer des masques de sous réseau pour que les bécanes soient indépendantes ? ou je peux tout mettre sur la plage 192.168.254.xxx

- le modem/routeur speedstream 5200 propose trois options : NAPT, NAT, et port forwarding. J'ai eu beau me documenter, je comprends pas les différences

vérifie la configuration de ton serveur FTP pour voir si le port utilisé pour le mode passif est bien le 20

sinon est-ce que le routeur Speedstream ne fait pas aussi du NAT (Network Address Translation) ? en gros, est-ce que l'IP de ton serveur est publique ou privée ?

C'est tarabiscote ton reseau !! Un switch suffit a assurer la separation tant que le routeur en amont s'occupe bien de son boulot ?

Le 06 décembre 2005 - 12 h 53, knightmare a écrit : vérifie la configuration de ton serveur FTP pour voir si le port utilisé pour le mode passif est bien le 20

ok je vais regarder ça, mais il me semblait que pour le mode passif les clients ouvraient des plages de ports dans les 5000 et quelques...

sinon est-ce que le routeur Speedstream ne fait pas aussi du NAT (Network Address Translation) ? en gros, est-ce que l'IP de ton serveur est publique ou privée ?

Ben, l'ip est forcément privée non ??? seul le speedstream qui est connecté au wan a une ip publique attribué par le FAI.

Et jsutement, sur le speedstream y'a trois options qui me mettent le doute :

NAT forwarding
NAPT forwarding
Port forwarding

alors que jusqu'içi, tout ça pour moi c'était la même chose... Du NAT quoi...
C'est quoi la différence avec le "port forwarding" ???

Et est ce que je dois faire des sous-réseaux avec des masques ?

Le 06 décembre 2005 - 12 h 58, iraysyvalo a écrit : C'est tarabiscote ton reseau !! Un switch suffit a assurer la separation tant que le routeur en amont s'occupe bien de son boulot ?

Heu je suis sur qu'il y a plus compliqué
Comme expliqué dans le premier post, ce setup est obligatoire. Je vais pas demander à deux boites de partager un routeur, bidouiller dans le réseau de l'autre etc...

Il fallait installer un point d'accès wifi et un switch, donc quitte à prendre ça, autant prendre un routeur qui fait le tout. De plus je pensais isoler son réseau en cas de compromission du réseau amont.

Déjà, j'ai passé le Linksys du mode Gateway (passerelle) vers le mode Routeur, vu qu'il n'est pas directement connecté au WAN. Vous pensez que c'était une bonne chose ?

C'est tarabiscote ton reseau !! Un switch suffit a assurer la separation tant que le routeur en amont s'occupe bien de son boulot ?

Il fallait installer un point d'accès wifi et un switch, donc quitte à prendre ça, autant prendre un routeur qui fait le tout. De plus je pensais isoler son réseau en cas de compromission du réseau amont.

OH dites vous allez me lacher oui !!!!

j'y suis pour rien dans vos histoires moi !!!

je regardais la liste des topics, quand j'ai vu que t'avais posté me suis dit "cool, amon l'ingénieur réseau qui casse tout, il aura trouvé la solution à coup sûr"

mes genoux oui !

bon ben je bouge chez le gars en question, je vais tenter de trifouiller encore ce $#*& de speedstream. Si seulement il n'y avait que le linksys, ce serait tellement plus simple....

de toute facon le speedstream est le modem, je n'ai pas le choix, il faut le laisser.

dsl

pour etre plus serieux

ton reseau il est un peu flou pour moi

dc tu as

.............|---routeur 1------reseau entreprise 1
WAN---Switch
.............|----routeur 2-----reseau entreprise 2

c'est ca ???

ne tient pas cpte des "............."

bon a priori non


dc il faudrait que depuis le routeur1 tu ouvres les ports vers l'adresse ip du routeur 2 sur lequel tu re-ouvres les memes ports vers ton pc !

mais la j'avoue etre dans le bleu complet pour ce genre de solution !

pourquoi ne pas mettre ton serveur en DMZ avec des comptes FTP bien complexes, virant l'acces anonyme ??

Pas de problemes normalement.
Le modem / routeur renvoit vers le routeur qui renvoit vers le poste.

D'après mes souvenirs FTP, si le port 21 seul est ouvert, tu peux faire du PASV.
En theorie pour l'actif, port 21 en TCP et 20 en TCP (ftp et ftp-data).

Je pensais que le 20 etait en UDP mais il semblerait que je me trompe

sinon pour le passif c'est du 5000 a 5010 je crois

faut regarder ds le topic en post it avec les explications de sn@ke

un extrait de ce qui y est dit

Le 03 juin 2005 - 23 h 28, Sn@ke a écrit : Bon faudrait que vous compreniez comment marche le protocole FTP, ça aiderait pas mal. Je vais essayer de faire simple mais ça nécéssite de savoir ce que c'est qu'une connexion (socket)... En bref: Quand un ordi1 etablie une connexion vers un autre ordi2 il y a 4 parametres : - l'IP de l'ordi1 - l'IP de l'ordi2 - le port utilisé pour la connexion sortante sur l'ordi1 - le port utilisé pour la connexion entrante sur l'ordi2 On retrouve ces 4 infos dans le "socket" sous la forme : IP1:port1 -> IP2:port2 par exemple si l'ordi1 a l'IP 192.168.0.1 et utilise son port numéro 1664 pour se connecter à ordi2 qui a l'IP 192.168.0.2 et le port 666, on aura : 192.168.0.1:1664 -> 192.168.0.2:666 c'est ce qu'on apelle une connexion, on a un socket client qui pointe vers un socket serveur. Pour le FTP, il y a deux connexion à établir : - une pour les commandes à envoyer (canal de contrôle) - une pour les données à transférer (canal de données) La première s'établie toujours vers le port 21 du serveur, on établi donc une connexion du genre : IP_client:Premier_Port_Libre -> IP_Serveur:21 C'est alors que le client s'identifie avec les commandes USER, PASS et peut demander des infos, par exemple le type de systeme du serveur avec la commande SYST. Dès que le client veut lister le contenu d'un répertoire (LIST) ou transférer un fichier (envoi (STOR) ou réception (RETR), peu importe), il doit établir une connexion de données. Chaque connexion de données est établie pour un seul transfert, elle est automatiquement coupée à la fin du transfert des données. - En mode actif, le client ouvre un port, transmet les informations du socket au serveur et c'est le serveur qui se connecte au client grâce aux information fournies. Par exemple, si le client envoi la commande : PORT(192,168,0,1,8,2) cela signifie qu'il demande au serveur d'établir la connexion sur son IP 192.168.0.1 (les 4 premiers parametres de la commande PORT) sur le port 8*256+2 (vous pouvez remarquer les 2 derniers parametres ici) ce qui donne le port 2050. Le serveur va alors établir la connexion demandée et envoyer les données. - En mode passif, le client demande au serveur un socket de connexion pour le canal de données et c'est le client qui va établir la connexion. Par exemple si le client envoi la commande : PASV le serveur pourrait répondre: 220 Entering Passive Mode (192,168,0,2,32,45) ce qui signifie que le serveur va attendre la connexion du client sur le socket 192.168.0.2:8237 Le client va alors établir la connexion proposée et recevoir les données. Voilà pour l'explication. Maintenant les causes de dysfonctionnement pour une utilisation sur Internet : En mode actif : - Le serveur a juste besoin d'une entrée sur le port 21. Il doit avoir le droit d'établir les connexions qu'il veut en sortie. - Le client doit pouvoir établir une connexion en sortie vers le port 21 mais il doit pouvoir accépter les connexions entrantes sur des ports divers et variés pour les données. C'est souvent ce qui pose problème quand le client est derrière un routeur. En mode passif : - Le serveur a besoin d'accepter les connexions sur le port 21, mais aussi d'accepter les connexions entrantes pour les canaux de données. Pour cela vous pouvez choisir une plage de ports à ouvrir (qu'il faudra rediriger comme il se doit si vous avez un routeur). Important: Si le serveur est derrière un routeur, il faut lui indiquer l'IP externe (Internet) pour qu'il puisse la transmettre aux clients en réponse à la commande PASV ! S'il transmet son IP locale (10.x.x.x, 192.168.x.x ou 176.x.x.x), ça ne marchera pas ! - Le client a juste besoin d'établir des connexions sortantes.

Bon, la faut tester

Le 06 décembre 2005 - 16 h 11, amon2010 a écrit : dc il faudrait que depuis le routeur1 tu ouvres les ports vers l'adresse ip du routeur 2 sur lequel tu re-ouvres les memes ports vers ton pc !

Hé ben on doit avoir des neurones en commun, c'est pile ce que j'ai fait... Sur le 1er modem/routeur (speedstream), j'ai fait 2 règles NAT pour les ports 20 et 21 vers l'IP 192.168.254.100, et sur le 2ème routeur (Linksys) j'ai fait de même mais pour 192.168.254.101, l'adresse locale du serveur FTP.

Je nous ai fait un zoli ptit schéma, je l'ai mis dans le premier post

pourquoi ne pas mettre ton serveur en DMZ avec des comptes FTP bien complexes, virant l'acces anonyme ??

Sors de ma tête
j'y ai pensé mais je crois que le speedstream n'avait pas d'option DMZ, ou alors ça n'a rien changé (hummm faut que je reteste donc...). Il faudrait donc mettre le Linksys (.100) comme adresse DMZ ?
Mais je préférerais éviter le DMZ, pour des raisons de sécurité/confidentialité. Et puis je me demande si ça vampiriserai pas tous les ports entrants pour le Linksys et donc le réseau B...

Le 03 juin 2005 - 23 h 28, Sn@ke a écrit : - En mode actif, le client ouvre un port, transmet les informations du socket au serveur et c'est le serveur qui se connecte au client grâce aux information fournies. Par exemple, si le client envoi la commande : PORT(192,168,0,1,8,2) cela signifie qu'il demande au serveur d'établir la connexion sur son IP 192.168.0.1 (les 4 premiers parametres de la commande PORT) sur le port 8*256+2 (vous pouvez remarquer les 2 derniers parametres ici) ce qui donne le port 2050. Le serveur va alors établir la connexion demandée et envoyer les données. - En mode passif, le client demande au serveur un socket de connexion pour le canal de données et c'est le client qui va établir la connexion. Par exemple si le client envoi la commande : PASV le serveur pourrait répondre: 220 Entering Passive Mode (192,168,0,2,32,45) ce qui signifie que le serveur va attendre la connexion du client sur le socket 192.168.0.2:8237 Le client va alors établir la connexion proposée et recevoir les données.

Y'a pas une erreur là ? (en gras)
en mode passif c'est jsutement le serveur qui établit la connexion non ?

Voilà pour l'explication. Maintenant les causes de dysfonctionnement pour une utilisation sur Internet : En mode actif : - Le serveur a juste besoin d'une entrée sur le port 21. Il doit avoir le droit d'établir les connexions qu'il veut en sortie. - Le client doit pouvoir établir une connexion en sortie vers le port 21 mais il doit pouvoir accépter les connexions entrantes sur des ports divers et variés pour les données. C'est souvent ce qui pose problème quand le client est derrière un routeur. En mode passif : - Le serveur a besoin d'accepter les connexions sur le port 21, mais aussi d'accepter les connexions entrantes pour les canaux de données. Pour cela vous pouvez choisir une plage de ports à ouvrir (qu'il faudra rediriger comme il se doit si vous avez un routeur). Important: Si le serveur est derrière un routeur, il faut lui indiquer l'IP externe (Internet) pour qu'il puisse la transmettre aux clients en réponse à la commande PASV ! S'il transmet son IP locale (10.x.x.x, 192.168.x.x ou 176.x.x.x), ça ne marchera pas ! - Le client a juste besoin d'établir des connexions sortantes.

Vu que mon serveur est derrière un routeur, il fonctionnera toujours en passif ? il faut donc que j'indique une plage fixe pour les données et que je forwarde cette même plage juqu'au serveur ?
Si un client est derrière un routeur, il pourra quand même joindre mon serveur ?

Pour l'ip, j'y avais pas pensé en effet

PENSER A METTRE L'IP WAN DANS LES OPTIONS DU SERVEUR

avec ça si j'y pense pas

En termes plus clairs :

- actif-> le client indique au serveur ou ce dernier doit renvoyer ses donnees

-passif-> le client attend passivement le port que le serveur va lui allouer pour les donnees ..

bidi : si ton client est lui meme derriere un routeur c'est a lui de se debrouiller pour te joindre

normalement, vu qu'il initie la connexion, il n'a rien a faire ds sa config firewall.

question : pourquoi t'as mis tes 2 reseaux sur le meme reseau ip ??
si tu les mets sur 2 reseaux differents 192.*** et 193.*** par exemple, tu eviterais des transmitions de paquets entre a et b

Du coup ton routeur B servira de passerrelle pour ton reseau B

Et ton switch qui est , normalement, en auto apprentissage distribuera que mieux les paquets IP

mais bon, c'est pas forcer non plus