Forum Clubic

Proftpd en mode passif - nombres de ports à ouvrir ?

salut à tous.
j’utilise le serveur poftpd en mode passif . Je dois donc ouvrir une plage de ports. quelle doit être l’étendue de cette plage (10 ports ? 100 ports ?) ? j’ai 2 à 4 clients ftp qui se connectent par jour et il arrive parfois que 2 clients se connectent en même temps.
Merci par avance à ceux qui m’aideront à mieux comprendre le fonctionnement des ports passifs :slight_smile:

le port 21 uniquement. normalement plusieurs clients peuvent se connecter en meme temps sans probleme.

Non, je ne crois pas. En principe le port 21 sert à la négociation (quand on laisse ce port par défaut) pas aux transferts. En gros c’est sur ce port que le serveur ftp est contacté. Ensuite les transferts s’opérent sur les ports passifs que tu as déterminés dans ta configuration.

rajouter ça à ton fichier de config

PassivePorts 64000 65000

grace à ça, proftpd utilisera uniquement ces ports pour les transferts en mode passif, ensuite à toi de choisir la plage et de l’autoriser dans ton firewall :wink:

merci pour ta réponse mobyfab. Mais justement j 'aimerai savoir combien de ports passifs est-il nécessaire d’ouvrir. Dans ton exemple tu ouvres 1000 ports, ça me semble beaucoup pour un serveur ftp, comme le mien, sur lequel il y a 3 à 4 connexions par jour. En fait, je voudrai limiter l’ouverture de ports au strict nécessaire. :slight_smile:

j’ai toujours eu mes serveurs FTP en passif et je n’ai jamais rien ouvert d’autre que le port 21 sur mon routeur/firewall

tu n’a techniquement pas besoin d’ouvrir autre chose et/ou de faire une redirection de port sur une plage avec le passif

car en effet le port 21 sers à la connexion par le client au serveur: d’où la necessite d’ouvrir ce port, pour que le client puisse acceder au serveur. Une fois la connexion etabli c’est le serveur qui etablira l’usage d’un autre port pour le transfert et comme cela se passe dans le sens serveur-> client tu n’a pas besoin de rendre ces ports accessibles au client de maniere explicite.

Ceci dit si ton firewall filtre dans le sens serveur-> internet et que tu n’a pas ajouté de regle autorisant le serveur FTP de sortir effectivement ça peut coincer

tu ouvre ces ports en entrée et en sortie. c’est le seul moyen pour que ça fonctionne.
pour y arriver tu as deux moyens : autoriser statiquement les ports en etrée et sortie, ou uniquement en entrée et autoriser les connection déjà établies en sortie (established pour du tcp dans notre cas).
pour le nombre de ports, une centaine devrais largement suffire pour toi (un port = un transfert en cours). juste un truc, ne les place pas avant le port 1024.

Merci pour vos réponses :). J’avais fais le choix de mettre 100 ports, mais je n’étais pas certain d’avoir pris la bonne decision.