vsftpd....je ne comprends plus :)

le furtif · Le 05/02/2008, à 01:42

Bonjours a tous,
Salut a tous,
C'est peut-être pas bien, j'avais posté ce sujet dans la section internet&réseau....sans succès ! peut-être que j'avais mal choisi la section

Voila, j'ai un petit soucis, j'ai un serveur ftp vsftpd, celui ci possède un nom de domaine pour être accessible a tous en tant qu'anonymous.

Quand je le test en local, tous ce passe bien, via mon navigateur ou en console, en revanche, a distance, c'est la que ça coince, j'y accède en console sans soucis, mais via mon navigateur, si je met l'adresse : ftp://mon-serveur.mon-domaine

impossible d'y accéder, le message renvoyé par Firefox est le suivant :

425 Failed to establish connection

voici ce que renvoi le log vsftpd :

Mon Feb  4 22:25:47 2008 1 86.196.200.57 0 / b _ o a mozilla@example.com ftp 0 * i

Je pense a un problème de droits dans mon dossier ftp....car après ce message, j'arrive effectivement sur une page, mais vide ! donc je me dis que c'est que je n'ai pas le droit de voir ce qu'il y a ! mais je ne comprends pas ce message qui me parle de connexion, si quelqu'un a une idée !

ok, s'était bien un problème de droit, j'ai mis un chmod 755 sur les dossiers, et un chmod 644 sur les fichiers et hop ! ça roule, si quelqu'un vois un soucis de sécurité sur ces chmod (pourtant fait comme indiqué sur la doc de ce merveilleux site....) j'aimerai le savoir s'il vous plaà®t !

En fait, non c'est pas bon, mon proxy ma trompé ! enfin, si je vide le cache je peu me connecter, mais sans proxy, il ne veut pas , par exemple, j'essais de m'y connecter avec un firefox sous xp, j'obtiens le même message d'erreur :

425 Failed to establish connection

ça me fait péter un cable !!!! j'ai un deuxième serveur ftp (vsftpd aussi) les config sont identiques en tout points ! et il marche nikel, je ne pige vraiment pas pourquoi sur cette autre machine, il ne veut rien savoir !

re-edit : même Internet explorer me dit que je n'ai pas droit d'y accerder !!!!:o

Bon, je continue d'avancer seul....j'ai remarqué (sur le ftp qui fonctionne) que lorsque je listais les permissions, j'obtenais ceci :

sudo ls -la /home/ftp

drwxr-xr-x 5 root nogroup 4096 2008-02-02 15:30 .
drwxr-xr-x 4 root root    4096 2007-10-16 12:56 ..
drwxr-xr-x 2 root root    4096 2008-01-31 21:33 
drwxr-xr-x 1 root root      25 2007-10-30 20:46 
drwxr-xr-x 1 root root     144 2007-10-30 20:46 
drwxr-xr-x 3 root root    4096 2008-02-05 00:30 
drwxr-xr-x 6 root root    4096 2007-11-06 16:35

Et sur celui qui déconne, aucune trace du groupe "nogroup", je n'arrive pas a régler ce problème de droit, quelqu'un pourrait il m'aider s'il vous plaà®t ??

Si je passe par mon proxy (squid) j'y accède sans soucis (j'ai essayé après avoir vidé le caché pour ne pas être trompé ) mais si je me connecte directement, je n'ai pas droit d'y accéder, je ne comprends vraiment pas

Dernière modification par le furtif (Le 05/02/2008, à 02:18)

le furtif · Le 05/02/2008, à 02:49

Bon, ça m'a gonflé....j'ai effacé tout le contenu du répertoire /home/ftp du serveur qui déconnait....

Maintenant, il ne reste que ce seul dossier, qui appartient au group "nogroup" et a l'utilisateur "root"

Même délire, j'y accède en passant par mon proxy, mais sans passer par lui, impossible de s'y connecter....

Non, vraiment, il n'y a personne qui puisse m'aider ?? parce que la, je vois pas, mais pas du tout d'où vient le problème.

le furtif · Le 05/02/2008, à 12:23

un petit up ??

Uggy · Le 05/02/2008, à 12:31

le furtif a écrit :

Quand je le test en local, tous ce passe bien, via mon navigateur ou en console, en revanche, a distance, c'est la que ça coince, j'y accède en console sans soucis, mais via mon navigateur, si je met l'adresse : ftp://mon-serveur.mon-domaine

A distance en console c'est OK ?
Tu peux donner les logs clients et serveur

le furtif · Le 05/02/2008, à 12:46

oui, en console et a distance, il n'y a aucun soucis, mais des que je passe par Firefox pour y télécharger des données (toujours a distance) avec squid ça passe, en connexion direct non.

voici ce que me donne le log vsftpd sur le serveur lorsque je tente d'y accéder sans proxy :

Tue Feb  5 11:29:17 2008 1 86.196.200.57 0 / b _ o a mozilla@example.com ftp 0 * i
Tue Feb  5 11:37:51 2008 1 86.196.200.57 0 / b _ o a mozilla@example.com ftp 0 * i

et le code erreur de Firefox sur ma machine :

425 Failed to establish connection

Quand je passe par squid, le log vsftpd du serveur n'inscrit rien, mais la je me dis que c'est probablement parce que hier soir, pensant a un problème de droit sur mes dossiers et fichiers, j'ai tout viré le contenu du /home/ftp/

Je ne suis pas sur de bien comprendre, les logs clients, j'utilise Firefox pour me rendre dessus et ester voir si cela fonctionne, je ne sais pas si il fait office de client....donc je ne sais pas trop quoi renvoyer comme log client...pour uploader des fichiers sur ce ftp, je passe par ssh.

Mais je pige pas pourquoi en local ça fonctionne que ce soit en console ou via Firefox

Bon, je viens de re-tester en local, avec et sans proxy ça fonctionne, j'ai placé un petit fichier dans un répertoire test (/home/ftp/test/AMVNarutoVSSasukeEva.mp4) et voici ce que me renvoi le log vsftpd du serveur (avec firefox sans proxy):

Tue Feb  5 14:20:56 2008 2 192.168.1.21 14787274 /test/AMVNarutoVSSasukeEva.mp4 b _ o a mozilla@example.com ftp 0 * c

et voici ce qu'il renvoit si je passe par mon proxy :

Tue Feb  5 14:22:37 2008 3 192.168.1.21 14787274 /test/AMVNarutoVSSasukeEva.mp4 b _ o a Squid@ ftp 0 * c

et voici ce que cela me renvoi si j'utilise gftp pour me connecter

Tue Feb  5 14:32:04 2008 2 192.168.1.21 14787274 /test/AMVNarutoVSSasukeEva.mp4 b _ o a anonymous ftp 0 * c

J'ai fais ces test en local, j'ai demandé a une amie de ce rendre sur ce ftp pour voir (elle est sous Vista et utilise IE 7) et sont navigateur lui a répondu qu'il lui était impossible d'afficher la page.

Je ne sais pas si je te fournis toutes les données nécessaire, voici l'adresse de ce ftp :

ftp://mirroir-le-furtif.no-ip.org

Si cela peut t'être utile...

Merci de ton aide Uggy

Dernière modification par le furtif (Le 05/02/2008, à 15:37)

Uggy · Le 05/02/2008, à 21:29

A priori c'est ok en ACTIF et ca bloque en PASSIF.
(Voir mon test)

En PASSIF, le client doit monter la connexions vers le port choisis par le server dynamiquement.. Et dans 99% des cas c'est un FW qui bloque... (T'as un FW devant ton serveur FTP ?
Il sait gérer l'ouverture dynamique des ports ? )
Mais la c'est pire encore ... ton serveur FTP me dit de se connecter sur l'IP 192.168.1.19... et ca bahh forcément... joindre une IP privée par Internet.. bahhh ca passe pas... (voir RFC1918)

$ ftp mirroir-le-furtif.no-ip.org
Connected to mirroir-le-furtif.no-ip.org.
220 Welcome to the FurTiF FTP service.
Name (mirroir-le-furtif.no-ip.org:yannick): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 Feb 05 13:14 test
226 Directory send OK.
ftp> by
221 Goodbye.

$ ftp -p mirroir-le-furtif.no-ip.org
Connected to mirroir-le-furtif.no-ip.org.
220 Welcome to the FurTiF FTP service.
Name (mirroir-le-furtif.no-ip.org:yannick): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,1,19,163,22)
ftp: connect: No route to host
ftp>

Dernière modification par Uggy (Le 05/02/2008, à 21:31)

le furtif · Le 05/02/2008, à 21:52

J'ai un shorewall comme pare feux et le port 21 est ouvert, sur le serveur ou vsftpd fonctionne correctement, j'ai également un shorewall, configuré identiquement.

Je viens de faire le même test que toi sur celui ci et il n'y a pas de problème, voici ce qu'il me renvois :
(celui qui fonctionne bien possède le nom de domaine le-furtif.no-ip.org)

$ ftp -p le-furtif.no-ip.org
Connected to le-furtif.no-ip.org.
220 Welcome to the Furtif FTP service.
Name (le-furtif.no-ip.org:le-furtif): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (86,196,200,57,180,88)
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 Jan 31 20:33 distri-linux
drwxr-xr-x    3 0        0            4096 Feb 05 19:30 log
drwxr-xr-x    6 0        0            4096 Nov 06 15:35 son
226 Directory send OK.
ftp> quit
221 Goodbye.

voici la conf shorewall des deux serveurs (fichier rules)

#FTP
ACCEPT		net	$FW	tcp		21
ACCEPT		$FW	net	tcp		21

j'avais pensé au pare feux (vi parce que sur le premier serveur, j'avais bêtement perdu du temps a cause de ça ).

Le ftp bancale est derrière une live box, et sur celle ci, le port 21 est ouvert également.

Se peut il qu'il y ait une différence sachant que le ftp qui fonctionne tourne sur une 6.06 serveur, et celui qui déconne sur une Gutsy desktop ?
J'ai consulté la doc de shorewall, et pas de soucis, d'après ce que j'ai lu, il sait gérer l'ouverture dynamique.

Encore merci pour ton aide, j'essaie de me débrouiller mais mes connaissances sont encore assez limitées

Dernière modification par le furtif (Le 05/02/2008, à 21:57)

le furtif · Le 05/02/2008, à 22:27

Hummm....il y a un truc qui me chiffonne...

Juste pour le fun, je viens de désinstaller shorewall (et iptables puisqu'il vont ensemble) et j'ai refait le test.....et surprise, même erreur !

Je suis en train de me demander si cette live box délirerai pas un petit peu ! je vais voir sa config, j'ai pourtant bien ouvert le port 21, mais j'ai du louper un truc la !

Uggy · Le 05/02/2008, à 22:39

Tu as corrigé l'histoire de l'adresse IP.
Tout fonctionne correctement de chez moi (Actif et Passif) et pas de pb non plus avec Firefox.

le furtif · Le 05/02/2008, à 22:44

Pour le moment, je n'ai rien changé, et ca ne marche pas de chez moi....

le-furtif.no-ip.org fonctionne

mirroir-le-furtif.no-ip.org ne fonctionne toujours pas....et effectivement, quand je m'y connecte a distance, il me sort l'ip locale

A l'inverse, lorsque je me connecte au ftp qui fonctionne, j'ai l'ip publique

tous se mélange dans ma tête, j'ai le sentiment de ne plus rien comprendre

edit : Ah oui, je viens de voir que tu t'es connecté sur le-furtif.no-ip.org, c'est justement celui qui fonctionne, depuis bientà´t six mois

Dernière modification par le furtif (Le 05/02/2008, à 22:46)

Uggy · Le 05/02/2008, à 22:51

Au temps pour moi, j'ai fais le 2eme test sur pas le bon serveur.

Pour l'instant, ton probleme c'est que ton serveur répond de se connecter sur l'IP privée... une fois que ca sera corrigé.. on verra le reste...
192,168,1,19,227 c'est bien l'IP privée de ton serveur ?? Change la conf pour corriger cela.

le furtif · Le 05/02/2008, à 22:57

oui, le serveur a bien l'adresse 192.168.1.19

Pardonne mon ignorance, mais ce 227, je ne vois pas de quoi il s'agit

Je veu bien changer la conf, et la je me sens bête mais laquelle ?? Je ne voudrai absolument pas abuser, mais je ne comprends pas se que tu veu me dire

Uggy · Le 05/02/2008, à 23:07

Entering Passive Mode (192,168,1,19,227,112)

Le serveur dit au client de venir se connecter sur l'IP 192,168,1,19 sur le port 227x256 + 112 = 58224

Donc deja dans notre cas, j'arriverais jamais a joindre ton IP privée..
Et ci c'est l'IP publique, il faut que (mon FW et) ton FW authorisent de monter une connexion vers ce port.
(Sachant que ce port change a chaque connexion)

http://vsftpd.beasts.org/vsftpd_conf.html

pasv_address
Use this option to override the IP address that vsftpd will advertise in response to the PASV command. Provide a numeric IP address.
Default: (none - the address is taken from the incoming connected socket)

Dernière modification par Uggy (Le 05/02/2008, à 23:14)

le furtif · Le 05/02/2008, à 23:26

je viens de regarder la doc, il me dise que pour pouvoir acceder au serveur depuis internet, je dois rajouter les directives suivantes :

pasv_promiscuous=YES
pasv_enable=YES
pasv_min_port=40000
pasv_max_port=40100
pasv_address=XX.XX.XX.XX
port_promiscuous=YES

Mettre l'adresse ip publique ok, mais vu que je suis en ip dynamique avec mon FAI, je serai obligé de la mettre a jours tous les jours...et en fait, je viens de tester et cela ne marche pas

la directive "pasv_promiscuous=YES" je ne sais pas si c'est identique sur Ubuntu, mais chez redhat, il dise que si cette option est activé, cela desactive des fonctions de sécurité importante.

Et sur le ftp qui fonctionne, je n'ai pas eu a rajouter ces options, en fait, j'ai bêtement copier le vsftpd.conf du ftp qui fonctionne sur mirroir-le-furtif.no-ip.org, je me disais, vu que c'est une copie de ftp, je dois avoir des fichiers de conf identique.

Je cherche en parallèle, pas de soucis, je n'attends pas bêtement une réponse simplement, a force de tester plein de chose, je commence a me demander ce que j'ai essayé, et ce que je n'ai pas essayé

Dernière modification par le furtif (Le 05/02/2008, à 23:29)

Uggy · Le 05/02/2008, à 23:32

le furtif a écrit :

Mettre l'adresse ip publique ok, mais vu que je suis en ip dynamique avec mon FAI, je serai obligé de la mettre a jours tous les jours...et en fait, je viens de tester et cela ne marche pas

C'est pour ca que je crois qu'il y avait un parametre du genre "pasv_adr_resolve" qui fait que tu peux mettre ton nom au lieu de l'IP dans pasv_address.

le furtif a écrit :

la directive "pasv_promiscuous=YES" je ne sais pas si c'est identique sur Ubuntu, mais chez redhat, il dise que si cette option est activé, cela desactive des fonctions de sécurité importante.

Oui bahhh ne la met pas.
Dans le man, ils disent de ne pas le mettre sauf si vraiment....
Ou est ce qu'ils disent qu'il faut le mettre ?

le furtif a écrit :

Et sur le ftp qui fonctionne, je n'ai pas eu a rajouter ces options, en fait, j'ai bêtement copier le vsftpd.conf du ftp qui fonctionne sur mirroir-le-furtif.no-ip.org, je me disais, vu que c'est une copie de ftp, je dois avoir des fichiers de conf identique.

Je ne peux pas dire, tu n'as donner aucune conf..
Les 2 serveurs sont exactement dans le même réseau local ?? Vu les IPs j'ai pas l'impression...

Dernière modification par Uggy (Le 05/02/2008, à 23:36)

le furtif · Le 05/02/2008, à 23:53

Pardon pour ce manque de renseignements,

le ftp "le-furtif.no-ip.org" et sur une Ubuntu 6.06 server qui est chez moi, voici son fichier de conf :

# Example config file /etc/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
#
# Run standalone?  vsftpd can run either from an inetd or as a standalone
# daemon started from an initscript.
listen=YES
# Run standalone with IPv6?
# Like the listen parameter, except vsftpd will listen on an IPv6 socket
# instead of an IPv4 one. This parameter and the listen parameter are mutually
# exclusive.
#listen_ipv6=YES
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=YES
#
# Uncomment this to allow local users to log in.
local_enable=NO
#
# Uncomment this to enable any form of FTP write command.
write_enable=NO
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
anon_upload_enable=NO
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
anon_mkdir_write_enable=NO
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format
xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
ftpd_banner=Welcome to the FurTiF FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd.banned_emails
#
# You may restrict local users to their home directories.  See the FAQ for
# the possible risks in this before using chroot_local_user or
# chroot_list_enable below.
#chroot_local_user=YES
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
#
# Debian customization
#
# Some of vsftpd's settings don't fit the Debian filesystem layout by
# default.  These settings are more Debian-friendly.
#
# This option should be the name of a directory which is empty.  Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd
#
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
# This option specifies the location of the RSA key to use for SSL
# encrypted connections.
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

Le ftp "mirroir-le-furtif.no-ip.org" est a 30 Km de chez moi, sur une Ubuntu gutsy desktop, et voici son fichier de conf, qui est identique :

# Example config file /etc/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
#
# Run standalone?  vsftpd can run either from an inetd or as a standalone
# daemon started from an initscript.
listen=YES
# Run standalone with IPv6?
# Like the listen parameter, except vsftpd will listen on an IPv6 socket
# instead of an IPv4 one. This parameter and the listen parameter are mutually
# exclusive.
#listen_ipv6=YES
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=YES
#
# Uncomment this to allow local users to log in.
local_enable=NO
#
# Uncomment this to enable any form of FTP write command.
write_enable=NO
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
anon_upload_enable=NO
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
anon_mkdir_write_enable=NO
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format
xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
ftpd_banner=Welcome to the FurTiF FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd.banned_emails
#
# You may restrict local users to their home directories.  See the FAQ for
# the possible risks in this before using chroot_local_user or
# chroot_list_enable below.
#chroot_local_user=YES
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
#
# Debian customization
#
# Some of vsftpd's settings don't fit the Debian filesystem layout by
# default.  These settings are more Debian-friendly.
#
# This option should be the name of a directory which is empty.  Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd
#
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
# This option specifies the location of the RSA key to use for SSL
# encrypted connections.
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

Je viens d'enlever les directives que j'ai ajouté precedement, a savoir :

pasv_enable=YES
pasv_min_port=40000
pasv_max_port=40100
pasv_address_resolve=mirroir-le-furtif.no-ip.org

J'avais ouvert les ports correspondant sur mon shorewall ainsi que sur la live box, mais avec ces options, la connexion était refusée.

Les différences entre ces deux ftp sont : la distribution Ubuntu ainsi que le modèle de live box (inventel pour le ftp fonctionnel et sagem pour celui qui coince).

Les fichiers de conf shorewall sont identiques.

Mes excuses si je prends la tête:( mais ça fait une semaine que je suis dessus et j'ai l'impression de faire du vent.....

Uggy · Le 06/02/2008, à 00:02

le furtif a écrit :

Je viens d'enlever les directives que j'ai ajouté precedement, a savoir :
pasv_enable=YES
pasv_min_port=40000
pasv_max_port=40100
pasv_address_resolve=mirroir-le-furtif.no-ip.org
J'avais ouvert les ports correspondant sur mon shorewall ainsi que sur la live box, mais avec ces options, la connexion était refusée.

- Arrete de faire 25 modif a la fois
- Oublie le fait que ca marche sur l'autre avec la meme conf. T'occupe pas de celui qui marche..

- Remets le passif...
- Met une IP dans pasv_address_resolve
- fait le test avec "ftp -p" pour deja voir si maintenant on voir l'IP publique ou lieu de l'IP privée.

le furtif · Le 06/02/2008, à 00:16

ok, je viens de remettre ces directives :

pasv_enable=YES
pasv_min_port=40000
pasv_max_port=40100
pasv_address_resolve=mon-ip-publique

et voici ce que le test me renvoi :

$ ftp -p mirroir-le-furtif.no-ip.org
ftp: connect: Connection timed out

idem si je remplace mirroir-le... par l'ip publique dans la commande

Dernière modification par le furtif (Le 06/02/2008, à 00:17)

Uggy · Le 06/02/2008, à 00:29

T'as pas rebidouillé ta livebox ou ton netFilter entre temps ?
Le port 21 est bien en écoute quand tu es sur le serveur ?

le furtif · Le 06/02/2008, à 00:37

non je me suis un peu détendu, sur la live box, les ports 21 ainsi que ceux de 40000 a 40100 sont ouverts.

pour les test, j'ai stoppé shorewall.

voici ce qui se passe maintenant quand je demarre vsftpd :

$ sudo /etc/init.d/vsftpd start
 * Starting FTP server: vsftpd                                                                                        [ OK ]

et quand je fais un netstat, il n'ecoute pas aparament :

$ sudo netstat -lataupen
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       Utilisatr  Inode      PID/Program name   
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     111        16514      5052/mysqld         
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN     0          17685      6323/perl           
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     0          17551      6240/apache2        
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     0          15965      4745/sshd           
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     0          16097      4842/cupsd          
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN     0          17500      6130/(squid)        
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     0          17128      5818/exim4          
tcp        0      0 127.0.0.1:6010          0.0.0.0:*               LISTEN     1000       22738      8862/0              
tcp        0      0 192.168.1.19:22         192.168.1.21:54571      ESTABLISHED0          22699      8846/sshd: niko [pr 
tcp6       0      0 :::5900                 :::*                    LISTEN     1000       22289      8264/vino-server    
tcp6       0      0 ::1:6010                :::*                    LISTEN     1000       22739      8862/0              
udp        0      0 0.0.0.0:32768           0.0.0.0:*                          104        17318      6054/avahi-daemon:  
udp        0      0 0.0.0.0:32769           0.0.0.0:*                          13         17463      6130/(squid)        
udp        0      0 0.0.0.0:10000           0.0.0.0:*                          0          17686      6323/perl           
udp        0      0 0.0.0.0:3130            0.0.0.0:*                          0          17501      6130/(squid)        
udp        0      0 0.0.0.0:68              0.0.0.0:*                          100        17678      6303/dhclient       
udp        0      0 0.0.0.0:5353            0.0.0.0:*                          104        17317      6054/avahi-daemon:

et chose étrange, si je redemarre vsftpd :

$ sudo /etc/init.d/vsftpd restart
 * Stopping FTP server: vsftpd                                                                                               No /usr/sbin/vsftpd found running; none killed.
                                                                                                                      [ OK ]
 * Starting FTP server: vsftpd                                                                                        [ OK ]

Je vous écoute, j'arrête de faire 150 000 modif a la fois

Uggy · Le 06/02/2008, à 00:44

Bon vsftpd ne demarre plus... c'est donc un des 4 parametres ajoutés....

dans le man c'est:
pasv_address=mon-ip-publique

tu t'es gouré de paramètre... Le "resolve" lui est a mettre a "yes" ou "no"..

le furtif · Le 06/02/2008, à 01:03

heu je me suis gourré c'est un grand mot

Uggy a écrit :

c'est pour ca que je crois qu'il y avait un parametre du genre "pasv_adr_resolve"

pour le pasv_address, J'ai vu ça dans le man aussi, et quand j'allais le mettre, c'est la que j'ai arrêté toutes mes modif...on a du mal se comprendre, ou j'ai mal interprété, ce qui est plus sur

Si je met l'option pasv_address_resolve=YES, le serveur ne demarre pas, si je la met a NO, idem, donc la je l'ai enlevé.
j'ai placé l'option pasv_address=mon-ip-publique

le serveur demarre et ecoute sur le port 21

~$ sudo netstat -lataupen
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       Utilisatr  Inode      PID/Program name   
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     111        16514      5052/mysqld         
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN     0          17685      6323/perl           
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     0          17551      6240/apache2        
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN     0          27013      12748/vsftpd        
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     0          15965      4745/sshd           
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     0          16097      4842/cupsd          
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN     0          17500      6130/(squid)        
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN     0          17128      5818/exim4          
tcp        0      0 127.0.0.1:6010          0.0.0.0:*               LISTEN     1000       22738      8862/0              
tcp        0    160 192.168.1.19:22         192.168.1.21:54571      ESTABLISHED0          22699      8846/sshd: niko [pr 
tcp        0      0 127.0.0.1:32797         127.0.0.1:6010          TIME_WAIT  0          0          -                   
tcp6       0      0 :::5900                 :::*                    LISTEN     1000       22289      8264/vino-server    
tcp6       0      0 ::1:6010                :::*                    LISTEN     1000       22739      8862/0              
udp        0      0 0.0.0.0:32768           0.0.0.0:*                          104        17318      6054/avahi-daemon:  
udp        0      0 0.0.0.0:32769           0.0.0.0:*                          13         17463      6130/(squid)        
udp        0      0 0.0.0.0:10000           0.0.0.0:*                          0          17686      6323/perl           
udp        0      0 0.0.0.0:3130            0.0.0.0:*                          0          17501      6130/(squid)        
udp        0      0 0.0.0.0:68              0.0.0.0:*                          100        17678      6303/dhclient       
udp        0      0 0.0.0.0:5353            0.0.0.0:*                          104        17317      6054/avahi-daemon:

j'essais de m'y connecter :

$ ftp -p mirroir-le-furtif.no-ip.org
ftp: connect: Connection timed out
ftp>

idem avec l'ip publique dans la commande...grrrr c'est un truc de fou ça !

Uggy · Le 06/02/2008, à 01:21

le furtif a écrit :

Si je met l'option pasv_address_resolve=YES, le serveur ne demarre pas, si je la met a NO, idem, donc la je l'ai enlevé.

OK..de toute facon je la retrouve pas dans le man... J'ai peut etre revé... bref... passons pour l'instant...

le furtif a écrit :

j'ai placé l'option pasv_address=mon-ip-publique
le serveur demarre et ecoute sur le port 21
j'essais de m'y connecter :
$ ftp -p mirroir-le-furtif.no-ip.org
ftp: connect: Connection timed out
ftp>

T'es sur a 10000% de tes Firewall et liveBox ?
Renleve les options ajoutées.. mais peu de chances que ca soit ca... Pour moi c'est un FW.

Uggy · Le 06/02/2008, à 01:29

Pour ce qui est de modifier l'adresse IP pour le parametre "pasv_address", plein de sites proposent un script: exemple:
http://cedric.leullier.free.fr/linux/howto/Mon_Serveur/Mon_Serveur-HOWTO-5.html
Je ne sais pas si il y a une meilleure option... Il faut bien lire le man

le furtif · Le 06/02/2008, à 01:37

Encore une fois merci de passer ce temps pour moi....

Sur la live box, les ports 20(tcp) 21(tcp) et ceux de 40000 a 40100(tcp) sont ouverts, le firewall de la box est désactivé.

sur la machine, j'ai stoppé shorewall, mais je crois que tu as raison, quand je fais un nmap, voila ce qu'il me renvoit :

$ sudo nmap 192.168.1.19
[sudo] password for le-furtif:

Starting Nmap 4.20 ( http://insecure.org ) at 2008-02-06 00:33 CET
All 1697 scanned ports on 192.168.1.19 are filtered
MAC Address: 00:80:C8:EB:85:D1 (D-link Systems)

Nmap finished: 1 IP address (1 host up) scanned in 43.015 seconds

je n'ai pas mis d'option pour gagner du temps....

mais effectivement, shorewall deconne peut être, jvais bosser dessus.

Je vais suivre tes conseil et bien etudier ce site.

Finalement, je fesai bien fausse route avec ma logique du "cela doit être la même config"....

Je te lache le grappin en te remerciant encore, je noterai mon avancement et la résolution du problème.

1000 merci Uggy

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 05/02/2008, à 01:42

vsftpd....je ne comprends plus :)

#2 Le 05/02/2008, à 02:49

Re : vsftpd....je ne comprends plus :)

#3 Le 05/02/2008, à 12:23

Re : vsftpd....je ne comprends plus :)

#4 Le 05/02/2008, à 12:31

Re : vsftpd....je ne comprends plus :)

#5 Le 05/02/2008, à 12:46

Re : vsftpd....je ne comprends plus :)

#6 Le 05/02/2008, à 21:29

Re : vsftpd....je ne comprends plus :)

#7 Le 05/02/2008, à 21:52

Re : vsftpd....je ne comprends plus :)

#8 Le 05/02/2008, à 22:27

Re : vsftpd....je ne comprends plus :)

#9 Le 05/02/2008, à 22:39

Re : vsftpd....je ne comprends plus :)

#10 Le 05/02/2008, à 22:44

Re : vsftpd....je ne comprends plus :)

#11 Le 05/02/2008, à 22:51

Re : vsftpd....je ne comprends plus :)

#12 Le 05/02/2008, à 22:57

Re : vsftpd....je ne comprends plus :)

#13 Le 05/02/2008, à 23:07

Re : vsftpd....je ne comprends plus :)

#14 Le 05/02/2008, à 23:26

Re : vsftpd....je ne comprends plus :)

#15 Le 05/02/2008, à 23:32

Re : vsftpd....je ne comprends plus :)

#16 Le 05/02/2008, à 23:53

Re : vsftpd....je ne comprends plus :)

#17 Le 06/02/2008, à 00:02

Re : vsftpd....je ne comprends plus :)

#18 Le 06/02/2008, à 00:16

Re : vsftpd....je ne comprends plus :)

#19 Le 06/02/2008, à 00:29

Re : vsftpd....je ne comprends plus :)

#20 Le 06/02/2008, à 00:37

Re : vsftpd....je ne comprends plus :)

#21 Le 06/02/2008, à 00:44

Re : vsftpd....je ne comprends plus :)

#22 Le 06/02/2008, à 01:03

Re : vsftpd....je ne comprends plus :)

#23 Le 06/02/2008, à 01:21

Re : vsftpd....je ne comprends plus :)

#24 Le 06/02/2008, à 01:29

Re : vsftpd....je ne comprends plus :)

#25 Le 06/02/2008, à 01:37

Re : vsftpd....je ne comprends plus :)

Pied de page des forums