Ubuntu-fr

Nuru0190

Mon FTP est inaccessible à partir d'un réseau distant

Bonjour,
Je suis nouveau sur ce forum, donc salut à tous!

J'ai créé un service ftp via proftpd sous Ubuntu serveur que je fais tourner avec VMware, qui tourne lui même sous Windows 8.1

Mon serveur fonctionne bien en local, et je peux y accéder sans problème en LAN à partir d'une page web ou de Filezilla.
Par contre, il est totalement inaccessible d'un réseau distant quand je fais des tests avec un site tel que https://ftptest.net/ par exemple.

Je précise pour la forme que j'ai lu 4 tutos complets avant de venir poster ici. J'ai fait tout ce qu'il me semblait pouvoir faire à mon niveau, mais là je suis bloqué.

Donc...
J'ai configuré mon fichier /etc/network/interfaces de façon à avoir une IP statique sur mon serveur, j'ai configuré mes IP DNS dans /etc/resolv.conf
J'ai accès à internet avec mon serveur Ubuntu.

J'ai configuré mon fichier /etc/proftpd/proftpd.conf comme suit:

# Includes DSO modules
Include /etc/proftpd/modules.conf

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
#UseIPv6                                on
# If set on you can experience a longer connection delay in many cases.
IdentLookups                    off

ServerName                      "FTP de Bob"
ServerType                      standalone
DeferWelcome                    off

MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     12000

DisplayLogin                    Bienvenue sur le FTP de Bob!
DisplayChdir                    .message true
ListOptions                     "-l"

DenyFilter                      \*.*/

# Use this to jail all users in their homes
DefaultRoot ~

# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
 RequireValidShell              off

#Can't login as Root
#Rootlogin off

# Port 21 is the standard FTP port.
Port                    2000
Port                    2100

PassivePorts       1999 2200


<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>

<IfModule mod_ratio.c>
Ratios off
</IfModule>


# Delay engine reduces impact of the so-called Timing Attack described in
# [url]http://www.securityfocus.com/bid/11430/discuss[/url]
# It is on by default.
<IfModule mod_delay.c>
DelayEngine on
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine        off
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>

MaxLoginAttempts 5

#Vaid Logins
<Limit LOGIN>
AllowUser userftp
DenyALL
</Limit>


<Directory /home/FTP>
Umask 022 022
AllowOverwrite off
        <Limit MKD STOR DELE XMKD RNRF RNTO RMD XRMD>
        DenyAll
        </Limit>
</Directory>

<Directory /home/FTP/download/*>
Umask 022 022
AllowOverwrite off
        <Limit MKD STOR DELE XMKD RNEF RNTO RMD XRMD>
        DenyAll
        </Limit>
</Directory>

<Directory /home/FTP/upload/>
Umask 022 022
AllowOverwrite on
        <Limit READ RMD DELE>
        DenyAll
        </Limit>

        <Limit STOR CWD MKD>
        AllowAll
        </Limit>
</Directory>

Dans le terminal, j'ai ajouté la commande suivante:

sudo iptables -A INPUT -p tcp --dport 2000 -j ACCEPT

Je l'ai tapée aussi pour les ports 20, 21 et 2100.

J'ai configuré ma Freebox en allant sur portail.free.fr et j'ai fait une redirection de ports:
port externe: 20
protocole: tcp
ip de destination; 192.168.1.89
port interne: 2000

port externe: 21
protocole: tcp
ip de destination; 192.168.1.89
port interne: 2100

J'ai aussi fait une redirection de plage ports:
port début: 20
port fin: 21
protocole: tcp
ip de destination: 192.168.1.89

J'ai pris soin de désactiver mon firewall Windows pour être sûr qu'il ne cause pas de problème.
J'ai relancé mon service après chaque manip.

Quand j'ai utilisé https://ftptest.net/, j'ai bien sûr entré l'IP de mon routeur, pas mon IP privée...
J'ai choisi le port 21, et userftp comme login et pass.

Après tout ça, mon ftp n'est toujours pas accessible de l'extérieur et je suis à court d'idées! ;(

Un peu d'aide serait vraiment bienvenue! ;)
En vous remerciant!

Modération : veuillez utiliser les balises code pour les retours de commande. Merci.

Dernière modification par Ayral (Le 16/12/2015, à 23:30)

HPIR40

Re : Mon FTP est inaccessible à partir d'un réseau distant

Quand j'ai utilisé https://ftptest.net/, j'ai bien sûr entré l'IP de mon routeur, pas mon IP privée...
J'ai choisi le port 21, et userftp comme login et pass.

et quand je regarde ton fichier de conf:

# Port 21 is the standard FTP port.
Port                    2000
Port                    2100

tu n'a pas mis ton port 21 donc normal que cela ne fonctionne pas, il doit fonctionner que pour le 2000 et 2100.

Dernière modification par HPIR40 (Le 17/12/2015, à 09:10)

airvb

Re : Mon FTP est inaccessible à partir d'un réseau distant

Bjr ,

Arrives tu à accéder à ton Ftp depuis l’hôte windows ?

Que donne :

nmap localhost -p 2000

pareil avec -p 2100

L'adresse 192.168.1.89 est bien celle de la machine virtuelle ?

Je ne connais pas VMware, mais la machine win et ubuntu sont bien sur le même réseau ( 192.168.1. xxxx) Équivalent mode bridge sous virtualbox

Nuru0190

Re : Mon FTP est inaccessible à partir d'un réseau distant

Quand j'ai utilisé https://ftptest.net/, j'ai bien sûr entré l'IP de mon routeur, pas mon IP privée...
J'ai choisi le port 21, et userftp comme login et pass.

et quand je regarde ton fichier de conf:

# Port 21 is the standard FTP port.
Port                    2000
Port                    2100

tu n'a pas mis ton port 21 donc normal que cela ne fonctionne pas, il doit fonctionner que pour le 2000 et 2100.

Salut, merci pour ta réponse.
Mais j'ai fait une redirection de ports sur portail.free.fr
Normalement, avec ce que j'ai renseigné dans les champs, le port externe 21 doit rediriger vers le 2100, et le 20 vers le 2000, non?
Ou alors quelque chose m'a complètement échappé concernant la redirection de ports, vu que je suis novice en la matière.

Nuru0190

Re : Mon FTP est inaccessible à partir d'un réseau distant

Bjr ,

Arrives tu à accéder à ton Ftp depuis l’hôte windows ?

Que donne :

nmap localhost -p 2000

pareil avec -p 2100

L'adresse 192.168.1.89 est bien celle de la machine virtuelle ?

Je ne connais pas VMware, mais la machine win et ubuntu sont bien sur le même réseau ( 192.168.1. xxxx) Équivalent mode bridge sous virtualbox

Bonjour,
Oui, l'IP 192.168.1.89 est bien celle de mon serveur virtuel. Je l'ai moi même entrée dans le fichier

/etc/network/interfaces

et je l'ai vérifiée avec un

ifconfig

. De plus, j'ai bien accès à internet car je peux faire des updates du système via

sudo apt-get update

.

Je n'ai pas testé

nmap localhost -p 2000

ni pour le port 2100, mais j'ai regardé sur un site internet qui permet de vérifier les ports ouverts, et j'ai découvert avec horreur que mes ports n'étaient pas visibles! :(
Apparemment, ils seraient masqués par ma box?

En plus de portail.free.fr, je suis allé allé sur mafreebox.freebox.fr pour l'administrer. Je me suis apperçu que les redirections de ports que j'avais faites sur portail.free.fr n'avaient pas été prises en comptes dans la section "ports" de mafreebox.freebox.fr.
Je les ai donc rajoutées là aussi.

Donc bilan de l'opération à ce point:
- des ports invisibles, donc je ne sais même pas s'ils sont ouverts ou pas.
Quand je fais un

netstat -an

, je vois que le port 2100 est en écoute, mais pas le 21. Mais c'est aussi pour ça que je faire une redirection non? Pour que du 21 en externe, on passe sur le 2100 en interne??

- des configs sur les sites de free concernant les mêmes points, mais indépendantes l'une de l'autre.. Mais à ce point les redirections ont été faites sur les 2 sites.

- un serveur toujours accessible en local, mais pas d'un réseau distant.

airvb

Re : Mon FTP est inaccessible à partir d'un réseau distant

Bjr,

- Quel est l'adresse ip de l'hôte windows ?

Il faut vérifier :
que le service tourne sur le serveur ok
que les ports soit accessibles  nmap en local et depuis le windows hôte

Que les redirections sont effectives .
Perso afin de test je ferai les essais sur le port 20/21 sans redirection ds un 1er temps.

# Port 21 is the standard FTP port.
Port                    2000
Port                    2100

PassivePorts       1999 2200

Il te faut faire un redirection de port 20, 21  respectivement sur le 2000 et le 2100 ( arbitraire )
Mais pour le mode passif les ports que tu as mis ds ta config se superposent !!!
essaie avec une plage de port  genre 5000/ to 5100

Nuru0190

Re : Mon FTP est inaccessible à partir d'un réseau distant

Bjr,

- Quel est l'adresse ip de l'hôte windows ?

Il faut vérifier :
que le service tourne sur le serveur ok
que les ports soit accessibles  nmap en local et depuis le windows hôte

Que les redirections sont effectives .
Perso afin de test je ferai les essais sur le port 20/21 sans redirection ds un 1er temps.

# Port 21 is the standard FTP port.
Port                    2000
Port                    2100

PassivePorts       1999 2200

Il te faut faire un redirection de port 20, 21  respectivement sur le 2000 et le 2100 ( arbitraire )
Mais pour le mode passif les ports que tu as mis ds ta config se superposent !!!
essaie avec une plage de port  genre 5000/ to 5100

Salut,
Mon IP sous Windows est 192.168.1.29
Mon IP sous Ubuntu server est 192.168.1.89

Lorsque je fais un nmap de Ubuntu vers Windows:

nmap 192.168.1.29

J'obtiens le résultat suivant:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-12-18 17:47 CET
Nmap scan report for 192.168.1.29
Host is up (0.00034s latency).
Not shown: 984 closed ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
443/tcp   open  https
445/tcp   open  microsoft-ds
554/tcp   open  rtsp
902/tcp   open  iss-realsecure
912/tcp   open  apex-mesh
2869/tcp  open  icslap
5357/tcp  open  wsdapi
10243/tcp open  unknown
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
49163/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 2.22 seconds

Apparemment, si j'en crois ce résultat, le port 21 n'est pas ouvert, et ça ne vient pas de mon firewall Windows (si ça a un quelconque rapport) parce que je l'ai désactivé. En fait, j'ai lu quelque part qu'il était possible que ma Freebox "masque" le port pour le rendre invisible, indépendamment de savoir s'il est ouvert ou pas.

J'ai changé les ports pour le PassivPorts pour éviter la superposition:

PassivePorts       3000 4000

En gardant la config sur proftpd.conf avec les ports internes sur 2000 et 2100 et la redirection (à la fois sur portail.free.fr et mafreebox.freebox.fr) allant de 20 vers 2000 et 21 vers 2100 avec l'adresse de destination: 192.168.1.89 (Ubuntu), ça ne marche pas.

J'ai donc essayé ce que tu proposes ensuite, à savoir rester sur du port 21:

# Port 21 is the standard FTP port.
Port                    21
#Port                   2000

J'ai bien entendu changé la redirection sur portail.free.fr et mafreebox.freebox.fr
J'ai mis 21 en externe qui redirige vers 21 en interne, avec adresse de destination 192.168.1.89
J'ai gardé la redirection du port 20, mais cette fois de 20 en externe qui redirige vers 20 en interne, avec la même IP de destination.
Bien entendu, j'ai fait un

sudo service proftpd restart

J'ai aussi contacté Free par tel, je suis resté avec le "technicien" (le mec ne savait même pas qu'un ftp passe par le port 21...) en gros la seule chose qu'ils m'ont conseillée a été d'entrer les infos pour un bail permanent sur portail.free.fr
J'y ai mis mon IP d'Ubuntu et mon adresse MAC.
Ca n'a rien résolu.

J'ai utilisé http://www.yougetsignal.com/tools/open-ports/  pour voir si mon port 21 est ouvert, mais le site me dit qu'il est fermé.

A ce point, étant donné que mon service FTP fonctionne en local, je me dis qu'il n'est pas en cause. J'ai fait les redirections sur les 2 sites de free... et ça ne marche toujours pas.
Je me dis que ça ne peut être que le port 21 qui est en cause.
Non?

Kerrigan

Re : Mon FTP est inaccessible à partir d'un réseau distant

le protocole FTP n'est pas sécurisé, il faut éviter de l'utiliser en passant par internet, ça va pour une utilisation "locale" mais si tu passes par internet, il faut qu'il y ai du cryptage quelque part. (tu sais qu'avec le ftp, les mdp ne sont même pas crypté ?).

du FTP sécurisé tu as par exemple :

- le SFTP (FTP passant par un tunnel SSH, il suffit en faite d'activer SSH Server)
- le FTPS (FTP avec du cryptage SSL)

airvb

Re : Mon FTP est inaccessible à partir d'un réseau distant

Sur la machine ubuntu

que donne

nmap localhost -p 21

le nmap que tu as fait , tu as interrogé la machine windows! ( 192.168.1.29 ) !

Nuru0190

Re : Mon FTP est inaccessible à partir d'un réseau distant

Sur la machine ubuntu

que donne

nmap localhost -p 21

le nmap que tu as fait , tu as interrogé la machine windows! ( 192.168.1.29 ) !

Ca donne un port fermé:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-12-19 14:29 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000054s latency).
Other addresses for localhost (not scanned): 127.0.0.1
PORT    STATE   SERVICE
21/tcp  closed  ftp

Nmap done: 1 IP address (1 host up) scanned in 0.13 seconds

Pourtant j'avais utilisé une commande spécifiquement pour forcer l'ouverture...

sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT

Je suis totalement largué!

Nuru0190

Re : Mon FTP est inaccessible à partir d'un réseau distant

Ok, j'ai apparemment réussi à ouvrir le port 21 sur ma machine virtuelle Ubuntu:

tsgeri@tsgeri:~$ nmap -Pn localhost

Starting Nmap 6.40 ( http://nmap.org ) at 2015-12-19 21:44 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00013s latency).
Other addresses for localhost (not scanned): 127.0.0.1
Not shown: 995 closed ports
PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
80/tcp  open  http
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds

Mais le FTP reste toujours inaccessible de l'extérieur quand je fais un test sur https://ftptest.net avec l'IP de ma freebox.
De plus, quand je fais un test de mon port 21 sur http://www.yougetsignal.com/tools/open-ports/, on me dit toujours qu'il est fermé!

Nuru0190

Re : Mon FTP est inaccessible à partir d'un réseau distant

J'ai réussi.

J'ai rajouté l'IP de destination de mon serveur Linux champ DMZ situé dans la section " Gestion des ports" de mafreebox.free.fr
Ca a tout solutionné.

Par contre, dans mon cas, ça ne fonctionne pas quand je rajoute l'IP au champ DMZ dans portail.free.fr!! (dans "mon compte", onglet Ma Freebox, puis "Configurer mon routeur Freebox", section "Configuration du DHCP", puis "Adresse IP DMZ"

Ca fonctionne uniquement sur mafreebox.freebox.fr

C'est tout ce qu'il suffisait de faire...

Merci pour votre aide!