L'Internet Rapide et Permanent

Un client (utilisateur FTP) va se servir de ce protocole, pour faire du transfert de fichiers (upload ou download) sur un serveur FTP.

Il existe une multitude de logiciels clients en mode graphique pour réaliser ces opérations. Passons sur les fonctions FTP implémentées dans les navigateurs web (Internet Explorer, Mozilla…), qui ne sont pas toujours très pratiques.

2-1-1-1. Clients Windows▲

2-1-1-2. Clients GNU/Linux▲

2-1-1-3. Autres possibilités▲

Il existe enfin des utilitaires FTP en ligne de commande, aussi bien sous Windows que sous Linux. Il sont certainement moins conviviaux, mais pas forcément moins puissants. L'outil en ligne de commande lftp est sans doute le plus abouti. Les utilisateurs de MS Windows devront s'en passer.

Dans la suite, nous utiliserons donc le client Filezilla :

Les clients FTP graphiques ont tous plus ou moins la même présentation. Ici, nous nous sommes connectés au serveur mir1.ovh.net de façon anonyme. Nous aurons l'occasion de revenir sur ce mode de connexion.

La partie gauche représente l'arborescence locale et la partie droite, celle du serveur FTP.

2-1-1-4. Le principe de base▲

Le client ouvre une session FTP sur un serveur. Il existe une grande quantité de serveurs FTP publics. Un serveur FTP requiert une identification du client. Il existe souvent un compte « anonyme », qui donne accès en lecture seule dans la partie publique du serveur, mais il existe également des parties privées où les clients disposant d'un compte peuvent accéder en écriture sur certains répertoires de l'arborescence. C'est le cas, par exemple, pour les mises à jour de pages web personnelles.

La première chose que l'on constate, c'est que, contrairement à d'autres protocoles comme HTTP, nous allons ici utiliser au moins deux canaux distincts :

• L'un pour l'échange des commandes du protocole,
• l'autre pour le transfert des données elle-mêmes. Il est possible d'ouvrir plusieurs canaux de données simultanément,si le serveur l'autorise, par exemple si l'on souhaite récupérer plusieurs fichiers sur un serveur.

Le client FTP (partie de droite), par l'intermédiaire de l'interface utilisateur, va cacher les diverses commandes du protocole FTP par des manipulations plus conviviales, en proposant à l'utilisateur une vision des choses similaire à un gestionnaire de fichiers. Avec des clics et des « glisser/déposer » l'utilisateur exploitera FTP sans en connaitre la multitude de commandes.

Un utilisateur pourra exploiter FTP pour transférer depuis son poste de travail des fichiers d'un serveur distant à un autre serveur distant, sans que les données ne transitent par sa machine, ce qui est fort intéressant si l'on travaille depuis une connexion à faible débit pour passer des données volumineuses d'une machine à une autre, ces dernières étant quant-à-elles connectées par des liens à haut débit. Cependant, cette opération ne sera possible que si les serveurs FTP l'acceptent (FXP), ce qui n'est pas souvent le cas, pour des raisons de sécurité et nous n'en parlerons pas d'avantage ici.

Le meilleur moyen pour comprendre FTP n'est probablement pas la lecture des RFC mais plutôt l'expérimentation, du moins dans un premier temps. Nous allons donc mettre en œuvre FTP, voir comment les choses se passent et vérifier seulement après que c'est bien conforme à ce qui est dit dans les Livres.

Les manipulations sont faites depuis un poste client connecté à un LAN, lui-même connecté à l'Internet par une passerelle NAT GNU/Linux. Un sniffeur est placé sur le poste client lui-même, il aurait pu l'être sur la passerelle.

Il faut bien prendre le problème par un bout pour le décortiquer, même si pour l'instant, nous ne savons rien ou pas grand-chose de FTP. Nous sommes donc obligés de faire appel à un paramétrage du client, sans trop savoir pourquoi on va le faire comme ça. Nous y reviendrons par la suite.

Le protocole FTP supporte deux manières de fonctionner, à peine différentes, mais la différence est d'importance, surtout lorsque l'on doit traverser un pare-feu par filtrage de paquets. Ce sont les modes actif et passif.

Pour l'instant, contentons-nous de dire que si l'on doit passer un pare-feu, il vaut mieux utiliser le mode passif, car le mode actif risque de se solder rapidement par un échec. Ceci dit, le pare-feu utilisé ici est construit avec Iptables, qui sait parfaitement reconnaitre du FTP actif et le laisser passer sans encombre si nous lui en avons donné la consigne. Nous allons donc commencer par ce mode là.

Le résultat de la manipulation qui suit n'est plus tout jeune, les noms des hôtes et du fichier téléchargé ne sont plus d'actualité, mais le protocole, lui, n'a pas changé et l'exemple est toujours valide.

Nous avions créé une connexion au serveur ftp.oleane.fr [ftp://ftp.oleane.fr/], parcouru son arborescence, et téléchargé le fichier /pub/doc/rfc/rfc765.txt.

2-1-4-1. Avertissement▲

2-1-4-2. Établissement de la connexion pour les commandes▲

No. Time     Source        Destination  Protocol Info
  1 0.000000 192.168.0.10  194.2.0.36   TCP      1175 > ftp [SYN]
  2 0.022327 194.2.0.36    192.168.0.10 TCP      ftp  > 1175 [SYN, ACK]
  3 0.022356 192.168.0.10  194.2.0.36   TCP      1175 > ftp [ACK]

Frame 1 (62 bytes on wire, 62 bytes captured)
    ...
    Transmission Control Protocol, Src Port: 1175 (1175), Dst Port: ftp (21)
    Source port: 1175 (1175)
    Destination port: ftp (21)
    ...

  4 0.055680 194.2.0.36    192.168.0.10 FTP      Response: 220 ProFTPD 1.2.0pre10 Server (ProFTPD)
                                                           [ftp.oleane.net]

  5 0.057744 192.168.0.10  194.2.0.36   FTP      Request: USER anonymous

  6 0.078527 194.2.0.36    192.168.0.10 TCP      ftp > 1175 [ACK]
  7 0.081892 194.2.0.36    192.168.0.10 FTP      Response: 331 Anonymous login ok, send your complete
                                                           e-mail address as password.

  8 0.084076 192.168.0.10  194.2.0.36   FTP      Request: PASS anon@localhost

  9 0.108851 194.2.0.36    192.168.0.10 FTP      Response: 230-Welcome, archive user
                                                           anonymous@ca-marseille-51-107.abo.wanadoo.fr!

 11 0.109313 192.168.0.10  194.2.0.36   TCP      1175 >  ftp [ACK]
 12 0.109914 194.2.0.36    192.168.0.10 FTP      Response: 230-The local time is:
                                                           Sat Jan 11 10:32:57 2003
 13 0.110341 194.2.0.36    192.168.0.10 FTP      Response: 230-
 14 0.110365 192.168.0.10  194.2.0.36   TCP      1175 > ftp [ACK]
 15 0.131452 194.2.0.36    192.168.0.10 FTP      Response: 230-For informations about
                                                           this archive service,
                                                           or to report problems,

 16 0.141903 192.168.0.10  194.2.0.36   FTP      Request: PWD

 17 0.172747 194.2.0.36    192.168.0.10 FTP      Response: 257 "/" is current directory.

 18 0.176308 192.168.0.10  194.2.0.36   FTP      Request: PORT 192,168,0,10,4,152

 19 0.198149 194.2.0.36    192.168.0.10 FTP      Response: 200 PORT command successful.

 20 0.200751 192.168.0.10  194.2.0.36   FTP      Request: TYPE A

 21 0.223387 194.2.0.36    192.168.0.10 FTP      Response: 200 Type set to A.

 22 0.225874 192.168.0.10  194.2.0.36   FTP      Request: LIST

23 0.247769 194.2.0.36    192.168.0.10 TCP      ftp-data > 1176 [SYN]
24 0.247826 192.168.0.10  194.2.0.36   TCP      1176 > ftp-data [SYN, ACK]
25 0.264940 194.2.0.36    192.168.0.10 TCP      ftp > 1175 [ACK]
26 0.267461 194.2.0.36    192.168.0.10 TCP      ftp-data > 1176 [ACK]

 27 0.299444 194.2.0.36    192.168.0.10 FTP      Response: 150 Opening ASCII mode data
                                                            connection for file list.

 28 0.303502 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 75 bytes
 29 0.305993 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 699 bytes
 30 0.306052 192.168.0.10  194.2.0.36   TCP      1176 > ftp-data [ACK]
 31 0.306101 194.2.0.36    192.168.0.10 FTP      Response: 226-Transfer complete.

 32 0.306117 192.168.0.10  194.2.0.36   TCP      1175 > ftp [ACK]
 33 0.306470 194.2.0.36    192.168.0.10 FTP      Response: 226 Quotas off
 34 0.307484 192.168.0.10  194.2.0.36   TCP      1176 > ftp-data [FIN, ACK]
 35 0.338378 194.2.0.36    192.168.0.10 TCP      ftp-data > 1176 [ACK]

 36 0.457543 192.168.0.10  194.2.0.36   TCP      1175 > ftp [ACK]
 37 2.447889 192.168.0.10  194.2.0.36   FTP      Request: CWD pub

 38 2.471233 194.2.0.36    192.168.0.10 FTP      Response: 250 CWD command successful.
 39 2.473782 192.168.0.10  194.2.0.36   FTP      Request: PWD
 40 2.499085 194.2.0.36    192.168.0.10 FTP      Response: 257 "/pub" is current directory.
 41 2.502415 192.168.0.10  194.2.0.36   FTP      Request: PORT 192,168,0,10,4,153
 42 2.524624 194.2.0.36    192.168.0.10 FTP      Response: 200 PORT command successful.
 43 2.527863 192.168.0.10  194.2.0.36   FTP      Request: TYPE A
 44 2.549182 194.2.0.36    192.168.0.10 FTP      Response: 200 Type set to A.
 45 2.551642 192.168.0.10  194.2.0.36   FTP      Request: LIST
 46 2.572805 194.2.0.36    192.168.0.10 TCP      ftp-data > 1177 [SYN]
 47 2.572856 192.168.0.10  194.2.0.36   TCP      1177 > ftp-data [SYN, ACK]
 48 2.585185 194.2.0.36    192.168.0.10 TCP      ftp > 1175 [ACK]
 49 2.593535 194.2.0.36    192.168.0.10 TCP      ftp-data > 1177 [ACK]

 50 2.595535 194.2.0.36    192.168.0.10 FTP      Response: 150 Opening ASCII mode data
                                                           connection for file list.
 51 2.625058 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 59 bytes
 52 2.627332 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 718 bytes
 53 2.627375 192.168.0.10  194.2.0.36   TCP      1177 > ftp-data [ACK]
 54 2.629615 194.2.0.36    192.168.0.10 FTP      Response: 226-Transfer complete.
 55 2.629654 192.168.0.10  194.2.0.36   TCP      1175 > ftp [ACK]
 56 2.630203 194.2.0.36    192.168.0.10 FTP      Response: 226 Quotas off
 57 2.652599 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 1229 bytes
 58 2.652668 192.168.0.10  194.2.0.36   TCP      1177 > ftp-data [ACK]
 59 2.654073 192.168.0.10  194.2.0.36   TCP      1177 > ftp-data [FIN, ACK]
 60 2.700163 194.2.0.36    192.168.0.10 TCP      ftp-data > 1177 [ACK]

 87 11.063406   192.168.0.10          194.2.0.36            FTP      Request: CWD rfc
...
 95 11.177496   192.168.0.10          194.2.0.36            FTP      Request: LIST
...

413 29.719734 192.168.0.10  194.2.0.36   FTP      Request: PWD
414 29.741101 194.2.0.36    192.168.0.10 FTP      Response: 257 "/pub/doc/rfc"
                                                            is current directory.

415 29.912570 192.168.0.10  194.2.0.36   TCP      1180 >; ftp [ACK]
416 30.584219 192.168.0.10  194.2.0.36   FTP      Request: TYPE A
417 30.605939 194.2.0.36    192.168.0.10 FTP      Response: 200 Type set to A.
418 30.609380 192.168.0.10  194.2.0.36   FTP      Request: PORT 192,168,0,10,4,157
419 30.635498 194.2.0.36    192.168.0.10 FTP      Response: 200 PORT command successful.
420 30.639387 192.168.0.10  194.2.0.36   FTP      Request: RETR rfc765.txt
421 30.660814 194.2.0.36    192.168.0.10 TCP      ftp-data > 1181 [SYN]
422 30.660867 192.168.0.10  194.2.0.36   TCP      1181 > ftp-data [SYN, ACK]
423 30.676003 194.2.0.36    192.168.0.10 TCP      ftp > 1180 [ACK]
424 30.683263 194.2.0.36    192.168.0.10 TCP      ftp-data > 1181 [ACK]
425 30.684698 194.2.0.36    192.168.0.10 FTP      Response: 150 Opening ASCII mode data
                                                            connection for rfc765.txt (146641 bytes).
426 30.685450 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 2 bytes
427 30.687400 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 716 bytes

428 30.687446 192.168.0.10  194.2.0.36   TCP      1181 > ftp-data [ACK]
429 30.710881 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 1400 bytes
430 30.712372 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 1400 bytes
431 30.712414 192.168.0.10  194.2.0.36   TCP      1181 > ftp-data [ACK]
...

614 33.613493 192.168.0.10  194.2.0.36   TCP      1181 > ftp-data [FIN, ACK]
615 33.636771 194.2.0.36    192.168.0.10 TCP      ftp-data > 1181 [ACK]

616 36.666211 192.168.0.10  194.2.0.36   TCP      1175 > ftp [FIN, ACK]
617 36.686973 194.2.0.36    192.168.0.10 TCP      ftp > 1175 [ACK]
618 36.689259 194.2.0.36    192.168.0.10 TCP      ftp > 1175 [FIN, ACK]
619 36.689275 192.168.0.10  194.2.0.36   TCP      1175 > ftp [ACK]
620 38.511841 192.168.0.10  194.2.0.36   TCP      1180 > ftp [FIN, ACK]
621 38.530529 194.2.0.36    192.168.0.10 TCP      ftp > 1180 [ACK]
622 38.533514 194.2.0.36    192.168.0.10 TCP      ftp > 1180 [FIN, ACK]
623 38.533552 192.168.0.10  194.2.0.36   TCP      1180 > ftp [ACK]

Déjà beaucoup de choses :

• nous avons mis en évidence la présence du canal de commande et du canal de données, placés sur des connexions TCP différentes,
• nous avons, dans ce cas de FTP en mode actif, observé que, pour la création du canal de données, le client FTP :
  • indique au serveur un numéro de port ;
  • se met à l'écoute sur ce port (fonction « serveur TCP ») ;
  • le serveur FTP va quant à lui, utiliser le port 20 pour ce canal de données et agir en client TCP.Ce détail est extrêmement important. Il explique la raison pour laquelle le FTP actif ne fonctionne pas correctement sur des filtres de paquets qui interdisent tout paquet SYN depuis le Net vers la zone protégée. Nous avons vu en effet qu'ici, le serveur FTP initie une nouvelle connexion TCP sur le client FTP (ne nous mélangez pas les pédales entre FTP et TCP…).
    De plus, si le routeur fait du NAT, comme c'est souvent le cas, ça ne va pas être simple de savoir à qui s'adresse cette nouvelle connexion. N'oublions pas que nous regardons ici ce qu'il se passe derrière le NAT. Le serveur FTP, qui est sur le Net, n'a aucune connaissance de l'IP réelle de son client. Pour lui, son interlocuteur, c'est le routeur NAT lui-même, vu du côté Internet, ceci est le travail de Netfilter et des modules du kernel spécialisés dans le traitement de FTP, associés à une règle qui laisse entrer les nouvelles connexion identifiées comme RELATED ;
• nous avons vu également quelques commandes FTP ainsi que quelques codes de réponses ;
• enfin, nous avons vu un type de transfert, le type A, qui correspond à de l'ASCII. Mais tout fichier n'est pas forcément de l'ASCII. que va-t-il se passer si le fichier à transporter est, par exemple, une image jpg ?

Bien qu'à ce niveau, si vous êtes toujours là, vous pouvez commencer à lire ces fameuses rfc 765 avec quelques chances d'y comprendre quelque chose, vous sentez bien, n'est-ce pas, qu'il y aurait encore quelques manipulations intéressantes à faire…

La première chose à faire, lorsque l'on prend en main un client FTP, c'est de trouver à quel endroit l'on peut lui expliquer qu'il doit fonctionner en mode actif ou passif.

Nous n'allons pas nous lancer dans une étude détaillée de Filezilla qui nous mènerait trop loin. Disons simplement que la plupart des clients FTP proposent :

• la possibilité d'une connexion « rapide » où l'on indique le nom du serveur et éventuellement ses nom d'utilisateur et mot de passe ;
• la création d'une liste de sites FTP pour un usage répété ;
• une configuration par défaut, qui est appliquée aux connexions rapides et sert de base à la configuration d'un site enregistré dans la liste ;
• une configuration personnalisée pour chaque site FTP référencé dans la liste.

Nous nous bornerons pour l'instant à visiter la configuration par défaut de Filezilla (version 3.5.2 GNU/Linux), dans le menu Édition/Paramètres pour forcer le mode passif :

Le mode passif est « recommandé » uniquement parce qu'il fonctionne plus facilement derrière un routeur NAT. En réalité, les serveurs FTP préfèrent le mode actif qui est pour eux moins consommateur de ressources.

Il serait intéressant de discuter des configurations particulières que l'on peut appliquer aux modes actif et passif, mais c'est peut-être encore un peu tôt.

Voyons ce que donne le même téléchargement, mais en mode passif :

No. Time     Source        Destination  Protocol Info
...

L'ouverture de session FTP est faite, la connexion de commandes est établie, le client envoie la première commande « PWD »

20 10.588511 192.168.0.10  194.2.0.36   FTP      Request: PWD
21 10.609876 194.2.0.36    192.168.0.10 FTP      Response: 257 « / » is current directory.

Jusqu'ici, tout était pareil, mais voyons la suite :

22 10.613105 192.168.0.10  194.2.0.36   FTP      Request: PASV

Cette nouvelle commande indique au serveur FTP que nous souhaitons fonctionner en mode passif.

23 10.661077 194.2.0.36    192.168.0.10 FTP      Response: 227 Entering Passive Mode (194,2,0,36,17,77).

Le serveur accepte (227 veut dire : « Passage en mode passif »), et indique un numéro de port, ici 17 x 256 + 77 = 4429

24 10.663545 192.168.0.10  194.2.0.36   FTP      Request: TYPE A
25 10.693712 194.2.0.36    192.168.0.10 FTP      Response: 200 Type set to A.
26 10.697611 192.168.0.10  194.2.0.36   FTP      Request: LIST
27 10.698306 192.168.0.10  194.2.0.36   TCP      1870 > 4429 [SYN]

Voyez ici comment la connexion TCP destinée à supporter le canal de données est créée. Ce n'est plus le serveur FTP qui, depuis son port 20 initie une connexion vers le client FTP, mais le client FTP qui ouvre une connexion TCP sur le port que lui a indiqué le serveur, à la suite de la commande PASV.

28 10.731631 194.2.0.36    192.168.0.10 TCP      ftp > 1869 [ACK]
29 10.736716 194.2.0.36    192.168.0.10 TCP      4429 > 1870 [SYN, ACK]
30 10.736751 192.168.0.10  194.2.0.36   TCP      1870 > 4429 [ACK]
31 10.757437 194.2.0.36    192.168.0.10 FTP      Response: 150 Opening ASCII mode data
                                                           connection for file list
32 10.761018 194.2.0.36    192.168.0.10 FTP-DATA FTP Data: 75 bytes
...

Le reste ne présente pas de nouveautés particulières. Notons qu'ici, c'est le serveur qui indique sur quel port il attend la prochaine connexion pour le transfert de données, et non plus le client FTP, comme nous l'avons vu en mode actif.

Ici, le suivi de connexion FTP n'est plus nécessaire sur la passerelle NAT/pare-feu.

2-2-1-1. Que pouvons-nous en conclure ?▲

C'est la deuxième chose qu'il faut savoir paramétrer sur son client FTP, parce qu'en principe, c'est lui qui décide. Nous avons bien vu que c'était lui qui envoyait la commande TYPE. Toujours sur Filezilla :

Ce client FTP est vraiment très bien fait… Toujours dans le menu « Edition/paramètres », allons dans « Paramètres de transfert/ASCII/Binaire » et voyons. Par défaut, notre client est paramétré pour faire une détection automatique, en fonction de l'extension du fichier. Comme nous avons téléchargé un fichier txt, il a choisi automatiquement le mode ASCII. Nous pouvons forcer un mode. Bien entendu, si nous forçons le mode ASCII, les fichiers non ASCII arriveront corrompus. Il n'y a pas ici de mécanisme de type MIME pour faire de l'encodage base 64 par exemple.

Si nous devons forcer un mode, forçons le mode binaire, qui fonctionnera avec tout type de fichier, mais pas forcément de manière optimale.

2-2-2-1. Quelles différences ?▲

No. Time      Source       Destination  Protocol Info
...
418 57.591410 192.168.0.10 194.2.0.36   FTP      Request: TYPE I

419 57.612530 194.2.0.36   192.168.0.10 FTP      Response: 200 Type set to I.
420 57.615147 192.168.0.10 194.2.0.36   FTP      Request: PASV
421 57.635511 194.2.0.36   192.168.0.10 FTP      Response: 227 Entering Passive Mode (194,2,0,36,18,136).
422 57.640090 192.168.0.10 194.2.0.36   FTP      Request: RETR rfc765.txt
423 57.640783 192.168.0.10 194.2.0.36   TCP      1111 > 4744 [SYN]
424 57.679211 194.2.0.36   192.168.0.10 TCP      4744 > 1111 [SYN, ACK]
425 57.679269 192.168.0.10 194.2.0.36   TCP      1111 > 4744 [ACK]
426 57.684695 194.2.0.36   192.168.0.10 TCP      ftp > 1105 [ACK]
427 57.699374 194.2.0.36   192.168.0.10 FTP      Response: 150 Opening BINARY mode data
                                                         connection for rfc765.txt (146641 bytes).

428 57.722806 194.2.0.36   192.168.0.10 FTP-DATA FTP Data: 1412 bytes
429 57.724012 194.2.0.36   192.168.0.10 FTP-DATA FTP Data: 1412 bytes
...

Encore un test hors d'age, mais qui reste intéressant. Un « upload » :

• En utilisant un autre client FTP, ici, ce sera le client gFTP sous GNU/Linux
• En utilisant un autre serveur FTP, ici, le serveur perso-ftp.wanadoo.fr.

En effet, chaque client FTP a ses petites habitudes et chaque serveur aussi…

Une fois de plus, nous allons étudier dans le détail cet échange.

 No. Time     Source         Destination    Protocol Info
  93 1.620013 192.168.0.254  193.252.18.14  TCP      32781 > ftp [SYN]
  94 1.650006 193.252.18.14  192.168.0.254  TCP      ftp > 32781 [SYN, ACK]
  95 1.650162 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]

Ouverture du canal de contrôle

  96 2.228519 193.252.18.14  192.168.0.254  FTP      Response: 220 pwp-ftp2 FTP server
                                                               (@(#)Version : 3-2-2  2002/08/21) ready.
  97 2.228698 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]
  98 2.229021 192.168.0.254  193.252.18.14  FTP      Request: USER dupond
  99 2.256639 193.252.18.14  192.168.0.254  TCP      ftp > 32781 [ACK]
 100 2.261983 193.252.18.14  192.168.0.254  FTP      Response: 331 PagePerso login ok, send your passwd.
 101 2.262205 192.168.0.254  193.252.18.14  FTP      Request: PASS dupont
 102 2.388503 193.252.18.14  192.168.0.254  TCP      ftp > 32781 [ACK]
 103 2.388952 193.252.18.14  192.168.0.254  FTP      Response: 230 User dupond logged in.
                                                                                Access restrictions apply.

Identification du client. Notons que le couple dupond/dupont circule en clair !

104 2.389150 192.168.0.254  193.252.18.14  FTP      Request: TYPE I
105 2.414035 193.252.18.14  192.168.0.254  FTP      Response: 200 Type set to I.

gFTP, quand on lui dit : « Mode binaire », il fait « mode binaire », même pour la récupération de la liste du répertoire.

106 2.414241 192.168.0.254  193.252.18.14  FTP      Request: PWD
107 2.433222 193.252.18.14  192.168.0.254  FTP      Response: 257 « /pub » is current directory.
108 2.438940 192.168.0.254  193.252.18.14  FTP      Request: PORT 192,168,0,254,128,14
109 2.462881 193.252.18.14  192.168.0.254  FTP      Response: 200 PORT command successful.
110 2.463200 192.168.0.254  193.252.18.14  FTP      Request: LIST -aL
111 2.582733 193.252.18.14  192.168.0.254  TCP      ftp > 32781 [ACK]

Mais il demande des détails. Les options « a » et « L » permettent d'obtenir les noms commençant par un point (entrées cachées) ainsi que la taille et les attributs de chaque entrée du répertoire.

 112 2.757014 193.252.18.14  192.168.0.254  TCP      ftp-data > 32782 [SYN]
 113 2.757157 192.168.0.254  193.252.18.14  TCP      32782 > ftp-data [SYN, ACK]
 114 2.774846 193.252.18.14  192.168.0.254  TCP      ftp-data > 32782 [ACK]

Ouverture du canal de données.

 115 2.775365 193.252.18.14  192.168.0.254  FTP      Response: 150 Opening BINARY mode data connection
                                                               for /bin/ls.
 116 2.808833 193.252.18.14  192.168.0.254  FTP-DATA FTP Data: 520 bytes
 117 2.808916 193.252.18.14  192.168.0.254  TCP      ftp-data > 32782 [FIN, ACK]
 118 2.808983 192.168.0.254  193.252.18.14  TCP      32782 > ftp-data [ACK]
 119 2.809821 192.168.0.254  193.252.18.14  TCP      32782 > ftp-data [FIN, ACK]
 120 2.822139 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]
 121 2.835875 193.252.18.14  192.168.0.254  TCP      ftp-data > 32782 [ACK]

Le canal de données est fermé d'un commun accord.

 122 2.844263 193.252.18.14  192.168.0.254  FTP      Response: 226-Transfer complete.
 123 2.844383 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]
 126 6.738405 192.168.0.254  193.252.18.14  FTP      Request: PORT 192,168,0,254,128,15
 127 6.760458 193.252.18.14  192.168.0.254  FTP      Response: 200 PORT command successful.
 128 6.760606 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]
 129 6.760844 192.168.0.254  193.252.18.14  FTP      Request: STOR /pub/ie6_proxy_1.gif

Le client va envoyer son fichier.

 130 6.886677 193.252.18.14  192.168.0.254  TCP      ftp > 32781 [ACK]
 131 6.923111 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [SYN]
 132 6.923242 192.168.0.254  193.252.18.14  TCP      32783 > ftp-data [SYN, ACK]
 133 6.947755 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [ACK]

Un nouveau canal de données est ouvert.

 134 6.948206 193.252.18.14  192.168.0.254  FTP      Response: 150 Opening BINARY mode data connection
                                                               for /pub/ie6_proxy_1.gif.
 135 6.959283 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 136 6.960470 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 137 6.982307 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]

Et le transfert démarre.

 138 6.986320 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [ACK]
 139 6.987578 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 140 6.988767 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 141 6.999923 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [ACK]
 142 7.001176 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 143 7.002388 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 144 7.123111 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [ACK]
 145 7.124365 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 146 7.125555 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 147 7.126746 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 148 7.314251 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [ACK]
 149 7.315529 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 1412 bytes
 150 7.315885 192.168.0.254  193.252.18.14  FTP-DATA FTP Data: 372 bytes
 151 7.315950 192.168.0.254  193.252.18.14  TCP      32783 > ftp-data [FIN, ACK]
 152 7.502913 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [ACK]
 153 7.680958 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [ACK]
 154 7.713910 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [ACK]
 155 7.714014 193.252.18.14  192.168.0.254  FTP      Response: 226 Transfer complete.
 156 7.714093 193.252.18.14  192.168.0.254  TCP      ftp-data > 32783 [FIN, ACK]
 157 7.714166 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]
 158 7.714232 192.168.0.254  193.252.18.14  TCP      32783 > ftp-data [ACK]

Le transfert est terminé, le canal de données est fermé.

159 7.714542 192.168.0.254  193.252.18.14  FTP      Request: SITE CHMOD 744 /pub/ie6_proxy_1.gif
160 7.765540 193.252.18.14  192.168.0.254  FTP      Response: 200 CHMOD command successful.
161 7.802347 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]

Le monde Unix…
Le client gFTP demande au serveur de changer les attributs du fichier. 744, ce qui signifie que le propriétaire a tous les droits et que les autres ne peuvent que lire.

 162 8.334702 192.168.0.254  193.252.18.14  FTP      Request: PORT 192,168,0,254,128,16
 163 8.355047 193.252.18.14  192.168.0.254  FTP      Response: 200 PORT command successful.
 164 8.355196 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]
 165 8.355366 192.168.0.254  193.252.18.14  FTP      Request: LIST -aL
 166 8.435637 193.252.18.14  192.168.0.254  TCP      ftp-data > 32784 [SYN]
 167 8.435767 192.168.0.254  193.252.18.14  TCP      32784 > ftp-data [SYN, ACK]
 168 8.457199 193.252.18.14  192.168.0.254  TCP      ftp-data > 32784 [ACK]
 169 8.457363 193.252.18.14  192.168.0.254  FTP      Response: 150 Opening BINARY mode data connection
                                                               for /bin/ls.
 170 8.464111 193.252.18.14  192.168.0.254  FTP-DATA FTP Data: 591 bytes
 171 8.464194 193.252.18.14  192.168.0.254  TCP      ftp-data > 32784 [FIN, ACK]
 172 8.464262 192.168.0.254  193.252.18.14  TCP      32784 > ftp-data [ACK]
 173 8.465013 192.168.0.254  193.252.18.14  TCP      32784 > ftp-data [FIN, ACK]
 174 8.492369 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]
 175 8.494386 193.252.18.14  192.168.0.254  TCP      ftp-data > 32784 [ACK]
 176 8.511638 193.252.18.14  192.168.0.254  FTP      Response: 226-Transfer complete.

Rien de bien nouveau, le client rafraichit la liste des entrées du répertoire courant.

177  8.511763 192.168.0.254  193.252.18.14  TCP      32781 > ftp [ACK]
178 14.584417 192.168.0.254  193.252.18.14  TCP      32781 > ftp [FIN, ACK]
179 14.603193 193.252.18.14  192.168.0.254  TCP      ftp > 32781 [ACK]

Le client ferme alors le canal de contrôle, sans autre forme de procès…

180 14.603616 193.252.18.14  192.168.0.254  FTP      Response: 221 You could at least say goodbye.

Et se fait jeter par le serveur qui, habitué à la politesse, est choqué de ne pas lire une formule du genre « au revoir et merci

181 14.603731 192.168.0.254  193.252.18.14  TCP      32781 > ftp [RST]

Mais le client répond en gros « va te faire f… » [RST] indiquant au serveur qu'il parle devant une porte fermée, affichant ouvertement sa grossièreté.

Non. FTP sait encore faire d'autres choses que nous n'avons pas vues ici, mais nous avons pu observer l'essentiel :

• Le transfert binaire ou ASCII. C'est une notion qu'il faut connaître si l'on ne veut pas risquer de perdre beaucoup de temps. Si l'on peut transférer n'importe quoi en mode binaire sans trop de risques, il n'en va pas de même si l'on essaye de transférer en mode ASCII un fichier qui n'est pas du texte.
• Les modes Actif et Passif. La notion est elle aussi essentielle, surtout s'il y a un pare-feu à filtrage de paquets non configuré pour autoriser le mode actif, c'est-à-dire le mode où le client FTP se retrouve serveur TCP sur le canal de données.
• Nous avons vu avec suffisamment de précision le mécanisme des canaux de commandes et de données, en modes actif et passif, pour pouvoir configurer avec quelques espoir de réussite un firewall du genre GNU/Linux avec Netfilter.

Nous n'avons pas vu en revanche :

• Comment utiliser FTP pour faire de l'impression distante,
• comment utiliser FTP à travers un serveur PROXY ou un proxy SOCKS, mais ces problèmes ne sont pas spécifiquement du ressort de FTP et ne peuvent se rencontrer qu'en entreprise.
• Enfin, nous n'avons pas vu certains modes de transfert que FTP sait faire, relatifs à la compression des données et à la reprise en cas d'incident, mais pour utiliser ces possibilités, encore faut-il disposer d'un client qui sache les gérer.
• Finalement, nous n'avons pas fait non plus de transfert de fichier de serveur à serveur avec un client distant. Pour mener à bien cette tâche, il vous faudra :
  • Un client FTP qui sache faire ce genre d'opérations (gftp en mode graphique, lftp en ligne de commande). Sous Windows, je n'en ai trouvé qu'un : FlashFXP, qui n'est pas libre ;
  • des serveurs FTP qui acceptent ce genre d'opérations.

Si vous voulez en savoir d'avantage sur FTP, vous n'avez plus d'autre choix que de lire les RFC 959.

C'est simple :

aptitude install pure-ftpd

Qui installe aussi pure-ftpd-common. Il y a d'autres versions de ce serveur :

# aptitude search pure-ftpd
p   mysqmail-pure-ftpd-logger      - real-time logging system in MySQL - Pure-FTPd traffic-logger
i   pure-ftpd                      - Secure and efficient FTP server
i A pure-ftpd-common               - Pure-FTPd FTP server (Common Files)
p   pure-ftpd-ldap                 - Secure and efficient FTP server with LDAP user authentication
p   pure-ftpd-mysql                - Secure and efficient FTP server with MySQL user authentication
p   pure-ftpd-postgresql           - Secure and efficient FTP server with PostgreSQL user authentication

Nous n'allons pas monter une usine à gaz et les identifications des utilisateurs fournies par le paquet pure-ftpd nous suffisent largement. Les logs dans un simple fichier texte suffiront également.

L'installation se termine par le démarrage du serveur en mode « standalone » avec la ligne de commande :

Starting ftp server: Running: /usr/sbin/pure-ftpd -l pam -8 UTF-8 -E -O clf:/var/log/pure-ftpd/transfer.log -u 1000 -B

3-1-1-1. Quelques mots à propos de pure-ftpd▲

3-1-1-2. Mode opératoire▲

3-1-2-1. L'authentification▲

# /etc/init.d/pure-ftpd stop

STANDALONE_OR_INETD=inetd

# groupadd ftpgroup

# useradd -g ftpgroup -d /dev/null -s /bin/false ftpuser

# mkdir /home/ftpusers

# pure-pw useradd test -u ftpuser -d /home/ftpusers/test

# pure-pw show test

Login              : test
Password           : $1$GrGl3h50$VHP8e646FLXfk7qUUnA7G1
UID                : 1001 (ftpuser)
GID                : 1001 (ftpgroup)
Directory          : /home/ftpusers/test/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

# pure-pw mkdb

# pure-ftpd -j -l puredb:/etc/pure-ftpd/pureftpd.pdb

# ps aux | grep pure
root     23658  0.0  0.3  24888  1668 pts/0    S+   18:44   0:00 pure-ftpd (SERVER)

# netstat -laputen | grep pure
tcp     0    0 0.0.0.0:21    0.0.0.0:*       LISTEN      0          71232       23658/pure-ftpd (SE
tcp6    0    0 :::21         :::*            LISTEN      0          71234       23658/pure-ftpd (SE

Statut :        Connexion à 192.168.10.76:21...
Statut :        Connexion établie, attente du message d'accueil...
Réponse :       220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Réponse :       220-You are user number 1 of 50 allowed.
Réponse :       220-Local time is now 18:30. Server port: 21.
Réponse :       220-IPv6 connections are also welcome on this server.
Réponse :       220 You will be disconnected after 15 minutes of inactivity.
Commande :      USER test
Réponse :       331 User test OK. Password required
Commande :      PASS ********
Réponse :       230-User test has group access to:  ftpgroup  
Réponse :       230 OK. Current directory is /
Commande :      OPTS UTF8 ON
Réponse :       200 OK, UTF-8 enabled
Statut :        Connecté
Statut :        Récupération du contenu du dossier...
Commande :      PWD
Réponse :       257 "/" is your current location
Statut :        Succès de la lecture du contenu du dossier

# ls -l /home/ftpusers/
total 4
drwxr-xr-x 2 ftpuser ftpgroup 4096  1 janv. 18:30 test

Statut :        Récupération du contenu du dossier...
Commande :      CDUP
Réponse :       250 OK. Current directory is /
Commande :      PWD
Réponse :       257 "/" is your current location
Statut :        Succès de la lecture du contenu du dossier

# ps aux | grep pure
root     23658  0.0  0.3  24888  1672 pts/0    S+   18:44   0:00 pure-ftpd (SERVER)                                
ftpuser  23666  0.0  0.2  37540  1480 pts/0    S+   18:49   0:00 pure-ftpd (IDLE)                                  
root     23667  0.0  0.1  37512  1000 pts/0    S+   18:49   0:00 pure-ftpd (PRIV)

# netstat -laputen | grep pure
tcp     0   0 0.0.0.0:21           0.0.0.0:*               LISTEN      0    71232     23658/pure-ftpd (SE
tcp     0   0 192.168.10.76:21     192.168.0.16:34924      ESTABLISHED 0    71309     23666/pure-ftpd (ID
tcp6    0   0 :::21                :::*                    LISTEN      0    71234     23658/pure-ftpd (SE

Pure-ftpd accepte par défaut les connexions anonymes, si un utilisateur nommé ftp existe, avec son répertoire /home/ftp. Si ces conditions ne sont pas remplies, il n'y aura pas d'accès anonyme possible. Cependant, mieux vaut signaler explicitement que l'on n'en veut pas, avec le paramètre -E.

Depuis l'avènement de l'internet à « haut débit » (1998 à peu près), le débit « upload » a toujours été inférieur au débit « download », considérant que l'internaute est un consommateur et pas un acteur (ce qui est hélas trop souvent vrai). Il nous faut nous contenter en moyenne de 100 Ko/s en upload, et il faut bien voir que notre upload sera le débit maximal de notre serveur FTP qui ne sera donc pas une bête de course. Qui plus est, si le serveur doit fonctionner alors qu'il y a des clients actifs sur notre réseau local, il faudra partager cette bande passante dérisoire.

Si nous voulons faire simple, nous pouvons limiter le débit du serveur avec le paramètre -T. Cette option peut limiter les débits «up » et « down ». Les limites sont données en Ko/s, séparés par un :. Par exemple, -T :60 ne limitera pas l'upload sur le serveur, mais limitera le download à 60 Ko/s.

Ce paramètre s'applique à tous les utilisateurs. Nous avons suggéré qu'il est possible de faire plus fin en définissant des limites à chaque utilisateur, avec la commande pure-pw.

Le lecteur attentif aura pu constater que, par défaut, le serveur accepte 50 clients simultanés. Il est sans doute judicieux de limiter ce nombre, avec le paramètre -c. De même qu'il est possible de limiter le nombre de connexions simultanées par client (paramètre -C).

Au final, notre ligne de commende pourrait être de la forme :

# pure-ftpd -j -l puredb:/etc/pure-ftpd/pureftpd.pdb -E -T :30 -c 3 -C 2

Par défaut, pure-ftpd va envoyer ses logs sur le syslog. Si l'on souhaite récupérer ces logs dans un fichier séparé, il faudra donc configurer notre système de logs.

Il existe cependant le paramètre -O (déjà vu plus haut) qui permet de créer un fichier propre aux transferts. Par exemple -O clf:/var/log/pure-ftpd/transfer.log comme fait par défaut dans l'installation Debian. Dans ce cas, les transferts seront consignés dans ce fichier. Le reste des informations que pure-ftpd pourrait envoyer seront à rechercher dans les messages du syslog.

Pure-ftpd sait faire du FTPES (FTP over explicit TLS/SSL). Dans cette configuration, les connexions sont chiffrées par TLS, ce qui évite entre autres le passage de l'authentification en clair.

Le système est simple (et peu souple). Il faut créer un certificat x509 qui doit obligatoirement s'appeler pure-ftpd.pem et se trouver dans /etc/ssl/private/. Pour le construire, il faut bien sûr avoir installé openssl et utiliser la commande suivante :

# openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Ce certificat autosigné sera donc valide 7300 jours, c'est peut-être beaucoup…

Generating a 2048 bit RSA private key
....................................................................+++
..................................................................................................................+++
writing new private key to '/etc/ssl/private/pure-ftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:BdR
Locality Name (eg, city) []:Marseille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:IRP
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:ftp.nain-t.net
Email Address []:irp@nain-t.net

Il faudra aussi :

# chmod 600 /etc/ssl/private/pure-ftpd.pem

Enfin, le paramètre -Y spécifiera l'utilisation de TLS. Pour la suite des manipulations, nous adopterons -Y 1 qui laisse le choix au client d'utiliser ou non TLS. -Y 2 n'autorisera pas les connexions sans TLS.

3-2-4-1. Test▲

Pour tester TSL, mieux vaut créer dans le gestionnaire de sites de FileZilla :

FTPES est donc un mode de transfert FTP explicitement sécurisé. Ce mode introduit des commandes supplémentaires qui dont définies dans les RFC 2228 : This document defines extensions to the FTP specification STD 9, RFC 959, “FILE TRANSFER PROTOCOL (FTP)” (October 1985). These extensions provide strong authentication, integrity, and confidentiality on both the control and data channels with the introduction of new optional commands, replies, and file transfer encodings.

La connexion suivant ce mode fera apparaitre :

Si nous acceptons ce certificat, la connexion s'établit et dans la fenêtre du protocole nous observons :

 

Sélectionnez

Statut :        Connexion à 192.168.10.76:21...
Statut :        Connexion établie, attente du message d'accueil...
Réponse :       220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Réponse :       220-You are user number 1 of 3 allowed.
Réponse :       220-Local time is now 17:32. Server port: 21.
Réponse :       220-This is a private system - No anonymous login
Réponse :       220-IPv6 connections are also welcome on this server.
Réponse :       220 You will be disconnected after 15 minutes of inactivity.
Commande :      AUTH TLS
Réponse :       234 AUTH TLS OK.
Statut :        Initialisation TLS...
Statut :        Vérification du certificat...
Commande :      USER test
Statut :        Connexion TLS/SSL établie.
Réponse :       331 User test OK. Password required
Commande :      PASS ********
Réponse :       230-Your bandwidth usage is restricted
Réponse :       230-User test has group access to:  ftpgroup  
Réponse :       230 OK. Current directory is /
Commande :      SYST
...

Le client FileZilla réclame une authentification TLS, qui lui est accordée, et la connexion TLS est établie avant le passage du mot de passe. Nous pouvons d'ailleurs vérifier avec notre wireshark habituel :

 

Sélectionnez

No.     Time        Source                Destination           Protocol Info
      1 0.000000    192.168.0.16          192.168.10.76         TCP      41198 > ftp [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=348647 TSER=0 WS=7
      2 0.045419    192.168.10.76         192.168.0.16          TCP      ftp > 41198 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1368 TSV=106073221 TSER=348647 WS=5
      3 0.045442    192.168.0.16          192.168.10.76         TCP      41198 > ftp [ACK] Seq=1 Ack=1 Win=5888 Len=0 TSV=348651 TSER=106073221
      4 0.101193    192.168.10.76         192.168.0.16          FTP      Response: 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
      5 0.101210    192.168.0.16          192.168.10.76         TCP      41198 > ftp [ACK] Seq=1 Ack=320 Win=6912 Len=0 TSV=348657 TSER=106073234
      6 0.101333    192.168.0.16          192.168.10.76         FTP      Request: AUTH TLS
      7 0.148394    192.168.10.76         192.168.0.16          TCP      ftp > 41198 [ACK] Seq=320 Ack=11 Win=5792 Len=0 TSV=106073246 TSER=348657
      8 0.150079    192.168.10.76         192.168.0.16          FTP      Response: 234 AUTH TLS OK.
      9 0.150989    192.168.0.16          192.168.10.76         FTP      Request: \026\003\002\000O\001\000\000K\003\002O\005\322\335\335d\2319U4\303[8\311\264\223\304\320\025\030\244\357\271d\202\330\361\373Rg)@\000\000$\0003\000E\0009\000\210\000\026\0002\000D\0008\000\207\000\023\000f\000/\000A\0005\000\204\000
     10 0.215860    192.168.10.76         192.168.0.16          FTP      Response: \026\003\001\000J\002\000\000F\003\001O\005\322\335H\315\246\005\351[\346.\263\033\301`\030\216"7\324gba|\021\350\307*+\201\267 \3648Y\335\257\204,.\334\253C\232x\f\217\265\2351.T0Vo\370\235\206\267I\333\231yY\0003\000\026\003\001\004V\v\000\004R\000\004O\000\004L0\202\004H0\202\0030\240\003\002\001\002\002\t\000\237s\0326\002\241\304y0
     11 0.218216    192.168.10.76         192.168.0.16          FTP      Response: \033\343:2 \374f\226%\360E\031\322j\240#\316\303\244\252\337\260\001\221\247U\363\224\223\030\302q\005HG\200\367\0166\2640\016\341\337M\2550\004\211$N\245\376E\227\302PK\332\270\006\250zL\211&-\346\263\264\022\377i\221\201\315\202\032z\253B\356y\233i\317IjU\337d\031'\016{\020G\022\246\351Y\317\210\276u\35395hC\001\000\001\323\345\000\021.\032l\332\214\3600x\025\255\300\327\374\342\343+\275\332\005\234\220!\376`\255\210\370\021"\243\301P\261gF#L\253\341\3465\313>\265FV\200Qs\365\253\274s\356D,X'
     12 0.218229    192.168.0.16          192.168.10.76         TCP      41198 > ftp [ACK] Seq=95 Ack=2071 Win=12544 Len=0 TSV=348669 TSER=106073260
     13 0.226760    192.168.0.16          192.168.10.76         FTP      Request: \026\003\001\000\206\020\000\000\202\000\200\b\322Xk\344O\275\330\251\032\257?\241\251\243!\361\250\001z9\342\342\205\346\241\0356\347V?\v\a\242\277\266+\027\242`}\300W\231\240\234&\357\v\3113\001v/&\211\023aRP
     14 0.226773    192.168.0.16          192.168.10.76         FTP      Request: \024\003\001\000\001\001
     15 0.227819    192.168.0.16          192.168.10.76         FTP      Request: \026\003\001\0000H\232_k%t\232=,\324\251\026\035\277\262F\224C\005\270>\355\225h\234R\221\177\266z\317\233W\310p\261\255\036\275l\367\212#\3378\323\271\027
     16 0.276986    192.168.10.76         192.168.0.16          TCP      ftp > 41198 [ACK] Seq=2071 Ack=240 Win=6880 Len=0 TSV=106073279 TSER=348670
     17 0.279681    192.168.10.76         192.168.0.16          FTP      Response: \024\003\001\000\001\001\026\003\001\0000\350%k\216\327\226|N\au\203o\272\033\333V\233b\2226Eg\002\332o\302`\206\230\032\tUKrR\217$u\254z9c\357\002\233K\f=
     18 0.281552    192.168.0.16          192.168.10.76         FTP      Request: \027\003\001\000\260\332\316[\341R`5\332\233\vU\365\275\033\306a.h\251A\0310\a\201\347rI<)b\312-0.r\361\200\266\255\254\276\367\323\a\332xe\365\331\206\334U\301\300#q:\342>\2525\243j\274J\336\220\022@\221b\373\240\202-C?,~\003VE\334\242
     19 0.331704    192.168.10.76         192.168.0.16          FTP      Response: \027\003\001\000@o\a+\303\333)l+XZ\260\260\243|)/f\304Kv\262S`\274\273\304\200\316\215u\264\tR\000\231\240\021v
     20 0.331923    192.168.0.16          192.168.10.76         FTP      Request: \027\003\001\001\020\2518:\203K:y\343:\t\016R\002?+_\340F F\005lO\267*\252\274\202p\325\2746Q$3\310\335\252\261\v\371\037\313\344e\207\027\3633\2244\334\021I\205gHVn\315*\bj\331\0230\203\314\200i\231\314u'-\315\321\271F#\336\243\353\242GT:\vy\235\251\032\216\324\202\026\t[\361\217/\020\a\376]\252\247\306\240\205\225\215K\350<\274\307K\301M\333\024/nn\342,\}k\247\360m\271\245G\372\216\222\021\336\264\251c\b\326\020\t\237\346\366u\217\257\305\201\034[{\\202\376H!w\332>\351\301
     21 0.389619    192.168.10.76         192.168.0.16          FTP      Response: \027\003\001\000@B\314\337\266\312\225\027\f\220U\265fx\244\026\330Y\307\240\213n\251\272\300\002\372\307\232I\355\360T\317\301{,\320\265\006\225T\002'h\000\220\361k\270\337.\330\276\2309F\203)\366\336\246e\310]
     22 0.391778    192.168.10.76         192.168.0.16          FTP      Response: \027\003\001\000P\023\326\265\242\326V\0005\360\235g\003\323\331x\3370\376\335\036\234S-,\342\310y\224\262/!Pv\232\250|\350\3538ue\341\257\006-i\232o\v\260\265\177\372\322n\265$2\235\a,\320\245\024\005I\306\335?\366t\250\324u\221\326\200\354x\231
     23 0.393748    192.168.10.76         192.168.0.16          FTP      Response: \027\003\001\000@\244\377\364\215\375\212\346\241\306\257\224\326\307\321\346\242n\271!K?^\244\220i]\276\312\\340\316N(\017 G\220j\177\004M\334D\177\267\324\027\312\t\203\351\036\344c\240M\314\300\364Tt&\341\245
     24 0.394575    192.168.0.16          192.168.10.76         TCP      41198 > ftp [ACK] Seq=751 Ack=2422 Win=12544 Len=0 TSV=348686 TSER=106073307
     25 0.394665    192.168.0.16          192.168.10.76         FTP      Request: \027\003\001\000@\315>k\375\375*\357\035\262^~\224\311M\322\332\270uW\307\035\356P\b\256\317\313\000\b\215}\322\273?\300kN\f\244h\376g(O\334VeU\322\310\262\236O\323\027\374g\323M):\254\265\177
     26 0.444358    192.168.10.76         192.168.0.16          FTP      Response: \027\003\001\0000-\216#1H\234\266\355\244\036\311\f?\320\237x\226\246\005\330p\252(\035\223\2420\243S\316\372\b~'[\325r\302\361\322\254\034\002\243\215\361\300\377
     27 0.444560    192.168.0.16          192.168.10.76         FTP      Request: \027\003\001\000\240\3166\351\033\372a\271\025\177,\213\255\020\206\000Z\344\334\243\2631\035\236o]\365\222`\233V
     28 0.493829    192.168.10.76         192.168.0.16          FTP      Response: \027\003\001\0000\212y\017\v\245\237\252O\246\zh*0\364\037\233\241`%a\261\321I\f}9z\354-QMH\236K\222#\336I\326H\212~/\227\026X
     29 0.493986    192.168.0.16          192.168.10.76         FTP      Request: \027\003\001\000\340\024d,D\244;\250\236{\326\217h-H+\240\206eA\307\375u\027\311\216\232\363\202\243\246\377\343\371\263\003Z\033Fj\326\363X]\272\265\241=;\257|\226\350\351P\320\215Q-\200]\004\256q\2206?\350\370ca\257\246'{\223j\v\003\300\311\274\033\217\025\346k\216\353$\251V\327\355\240\262\261Q\236\377H\341\370\022\312\3333\340\212LI\000\212\354\370 H\373\342\035\2756\336&?\372k\232:\231\266\372qQ\206"N\345qzv2\344bR\342\375\242E\226$
     30 0.544508    192.168.10.76         192.168.0.16          FTP      Response: \027\003\001\000P\004u\357\003\344\262\232\252\3209vZL\024\222\016\260\270>5\016\256\271Z\274\251\376p\344FU\236-\263\211\210u\301\035\206C\361_-\237\225\351]\271FR\017\027\222\201\032\225@\317\351tN@\252\337]hH\266\243\312\360\340:k\3600
     31 0.577128    192.168.0.16          192.168.10.76         TCP      41198 > ftp [ACK] Seq=1214 Ack=2613 Win=12544 Len=0 TSV=348705 TSER=106073345

A partir du moment où Response: 234 AUTH TLS OK, tous les échanges FTP sont chiffrés.

Il faut s'en souvenir… Dans le cas d'un mode passif, la Commande : PORT 192,168,0,16,159,10 va être chiffrée. Si ça ne pose pas de problème au client FTP qui sait le déchiffrer, le conntrack de Netfilter risque d'avoir plus de mal s'il est sollicité.

Au départ, sur l'hôte du serveur (une seule interface eth0), nous posons ceci :

# iptables-save
# Generated by iptables-save v1.4.8 on Mon Jan 23 11:26:11 2012
*filter
:INPUT DROP [1:76]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:76]
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT

Par défaut, rien ne peut entrer par aucune interface. Il est quand même judicieux de laisser passer SSH (port 22) et de laisser tout entrer sur lo (du moins pour ce qui nous intéresse ici).

Dans de telles conditions, FTP ne peut bien entendu pas fonctionner. Nous allons ajouter ces deux règles :

iptables -A INPUT -p tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

ceci afin de laisser entrer les connexions des clients FTP sur le port 21

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

ceci afin d'avoir des chances de laisser passer les connexions DATA relatives aux commandes FTP lancées par le client. Mais le suivi de connexions sur FTP est, nous l'avons vu, assez particulier pour nécessiter le chargement d'un module spécialisé :

modprobe nf-conntrack-ftp

Autrefois, ce module s'appelait ip-conntrack-ftp. Ce nom est aujourd'hui (30/01/2012) devenu un alias et donc toujours utilisable, mais autant adopter l'appellation actuelle.

Il n'y a pas ici de NAT puisque nous sommes toujours dans le cas de deux réseaux locaux routés entre eux. Au final, nous avons :

# iptables-save
# Generated by iptables-save v1.4.8 on Mon Jan 23 11:42:34 2012
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:76]
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Et, en ce qui concerne les modules de suivi :

# lsmod | grep conntrack
nf_conntrack_ipv4       9833  2 
nf_defrag_ipv4          1139  1 nf_conntrack_ipv4
xt_conntrack            2407  1 
x_tables               12845  4 xt_state,xt_tcpudp,xt_conntrack,ip_tables
nf_conntrack_ftp        5505  0 
nf_conntrack           46311  4 nf_conntrack_ipv4,xt_state,xt_conntrack,nf_conntrack_ftp

Essayons maintenant une connexion FTP active :

Statut :        Connexion à 192.168.10.76:21...
Statut :        Connexion établie, attente du message d'accueil...
Réponse :       220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Réponse :       220-You are user number 1 of 3 allowed.
Réponse :       220-Local time is now 11:48. Server port: 21.
Réponse :       220-This is a private system - No anonymous login
Réponse :       220-IPv6 connections are also welcome on this server.
Réponse :       220 You will be disconnected after 15 minutes of inactivity.
Commande :      USER test
Réponse :       331 User test OK. Password required
Commande :      PASS ********
Réponse :       230-Your bandwidth usage is restricted
Réponse :       230-User test has group access to:  ftpgroup  
Réponse :       230 OK. Current directory is /
Commande :      SYST
Réponse :       215 UNIX Type: L8
Commande :      FEAT
Réponse :       211-Extensions supported:
Réponse :        EPRT
Réponse :        IDLE
Réponse :        MDTM
Réponse :        SIZE
Réponse :        REST STREAM
Réponse :        MLST type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
Réponse :        MLSD
Réponse :        AUTH TLS
Réponse :        PBSZ
Réponse :        PROT
Réponse :        UTF8
Réponse :        TVFS
Réponse :        ESTA
Réponse :        PASV
Réponse :        EPSV
Réponse :        SPSV
Réponse :        ESTP
Réponse :       211 End.
Commande :      OPTS UTF8 ON
Réponse :       200 OK, UTF-8 enabled
Statut :        Connecté
Statut :        Récupération du contenu du dossier...
Commande :      PWD
Réponse :       257 "/" is your current location
Commande :      TYPE I
Réponse :       200 TYPE is now 8-bit binary
Commande :      PORT 192,168,0,16,171,235
Réponse :       200 PORT command successful
Commande :      MLSD
Réponse :       150 Connecting to port 44011
Réponse :       226-Options: -a -l 
Réponse :       226 8 matches total
Statut :        Succès de la lecture du contenu du dossier

Ça marche. Essayons maintenant en mode passif :

Statut :        Connexion à 192.168.10.76:21...
Statut :        Connexion établie, attente du message d'accueil...
Réponse :       220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Réponse :       220-You are user number 1 of 3 allowed.
Réponse :       220-Local time is now 11:51. Server port: 21.
Réponse :       220-This is a private system - No anonymous login
Réponse :       220-IPv6 connections are also welcome on this server.
Réponse :       220 You will be disconnected after 15 minutes of inactivity.
Commande :      USER test
Réponse :       331 User test OK. Password required
Commande :      PASS ********
Réponse :       230-Your bandwidth usage is restricted
Réponse :       230-User test has group access to:  ftpgroup  
Réponse :       230 OK. Current directory is /
Commande :      OPTS UTF8 ON
Réponse :       200 OK, UTF-8 enabled
Statut :        Connecté
Statut :        Récupération du contenu du dossier...
Commande :      PWD
Réponse :       257 "/" is your current location
Statut :        Succès de la lecture du contenu du dossier

Ça fonctionne aussi. Pas vraiment étonnant, le conntrack de Netfilter fait son travail, grâce à la ligne :

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Essayons en FTPES mode actif :

Statut :        Connexion à 192.168.10.76:21...
Statut :        Connexion établie, attente du message d'accueil...
Réponse :       220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Réponse :       220-You are user number 1 of 3 allowed.
Réponse :       220-Local time is now 11:58. Server port: 21.
Réponse :       220-This is a private system - No anonymous login
Réponse :       220-IPv6 connections are also welcome on this server.
Réponse :       220 You will be disconnected after 15 minutes of inactivity.
Commande :      AUTH TLS
Réponse :       234 AUTH TLS OK.
Statut :        Initialisation TLS...
Statut :        Vérification du certificat...
Commande :      USER test
Statut :        Connexion TLS/SSL établie.
Réponse :       331 User test OK. Password required
Commande :      PASS ********
Réponse :       230-Your bandwidth usage is restricted
Réponse :       230-User test has group access to:  ftpgroup  
Réponse :       230 OK. Current directory is /
Commande :      SYST
Réponse :       215 UNIX Type: L8
Commande :      FEAT
Réponse :       211-Extensions supported:
Réponse :        EPRT
Réponse :        IDLE
Réponse :        MDTM
Réponse :        SIZE
Réponse :        REST STREAM
Réponse :        MLST type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
Réponse :        MLSD
Réponse :        AUTH TLS
Réponse :        PBSZ
Réponse :        PROT
Réponse :        UTF8
Réponse :        TVFS
Réponse :        ESTA
Réponse :        PASV
Réponse :        EPSV
Réponse :        SPSV
Réponse :        ESTP
Réponse :       211 End.
Commande :      OPTS UTF8 ON
Réponse :       200 OK, UTF-8 enabled
Commande :      PBSZ 0
Réponse :       200 PBSZ=0
Commande :      PROT P
Réponse :       200 Data protection level set to "private"
Statut :        Connecté
Statut :        Récupération du contenu du dossier...
Commande :      PWD
Réponse :       257 "/" is your current location
Commande :      TYPE I
Réponse :       200 TYPE is now 8-bit binary
Commande :      PORT 192,168,0,16,136,97
Réponse :       200 PORT command successful
Commande :      MLSD
Réponse :       150 Connecting to port 34913
Réponse :       226-Options: -a -l 
Réponse :       226 7 matches total
Statut :        Succès de la lecture du contenu du dossier

Pas de soucis. Mais en mode passif :

Statut :        Connexion à 192.168.10.76:21...
Statut :        Connexion établie, attente du message d'accueil...
Réponse :       220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Réponse :       220-You are user number 1 of 3 allowed.
Réponse :       220-Local time is now 12:00. Server port: 21.
Réponse :       220-This is a private system - No anonymous login
Réponse :       220-IPv6 connections are also welcome on this server.
Réponse :       220 You will be disconnected after 15 minutes of inactivity.
Commande :      AUTH TLS
Réponse :       234 AUTH TLS OK.
Statut :        Initialisation TLS...
Statut :        Vérification du certificat...
Commande :      USER test
Statut :        Connexion TLS/SSL établie.
Réponse :       331 User test OK. Password required
Commande :      PASS ********
Réponse :       230-Your bandwidth usage is restricted
Réponse :       230-User test has group access to:  ftpgroup  
Réponse :       230 OK. Current directory is /
Commande :      SYST
Réponse :       215 UNIX Type: L8
Commande :      FEAT
Réponse :       211-Extensions supported:
Réponse :        EPRT
Réponse :        IDLE
Réponse :        MDTM
Réponse :        SIZE
Réponse :        REST STREAM
Réponse :        MLST type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
Réponse :        MLSD
Réponse :        AUTH TLS
Réponse :        PBSZ
Réponse :        PROT
Réponse :        UTF8
Réponse :        TVFS
Réponse :        ESTA
Réponse :        PASV
Réponse :        EPSV
Réponse :        SPSV
Réponse :        ESTP
Réponse :       211 End.
Commande :      OPTS UTF8 ON
Réponse :       200 OK, UTF-8 enabled
Commande :      PBSZ 0
Réponse :       200 PBSZ=0
Commande :      PROT P
Réponse :       200 Data protection level set to "private"
Statut :        Connecté
Statut :        Récupération du contenu du dossier...
Commande :      PWD
Réponse :       257 "/" is your current location
Commande :      TYPE I
Réponse :       200 TYPE is now 8-bit binary
Commande :      PASV
Réponse :       227 Entering Passive Mode (192,168,10,76,252,141)
Commande :      MLSD
Erreur :        Délai d'attente expiré
Erreur :        Échec lors de la récupération du contenu du dossier

Ici, ça coince au moment d'utiliser un canal de DATA. Conntrack n'a pas pu voir passer les informations relatives au port passif et n'a pas pu gérer le RELATED à cause du chiffrement.

A ma connaissance il n'y a pas de solution du côté de Netfilter. Il existe cependant une solution de contournement que nous allons voir maintenant.

Si l'on souhaite que le serveur fonctionne en FTPES passif, il faut abandonner le suivi de connexion, indiquer au serveur une plage de ports à ouvrir en mode passif et de laisser entrer les paquets NEW par ces ports. Ceci ne présente pas un très gros danger dans la mesure où :

• nous n'aurons pas beaucoup de connexions DATA simultanées, il n'est donc pas nécessaire d'ouvrir une grande plage ;
• ces ports seront normalement fermés en dehors d'une connexion DATA qui en utiliserait.

3-3-5-1. Spécifier les ports▲

pure-ftpd -j -lpuredb:/etc/pure-ftpd/pureftpd.pdb -E -T:30 -c3 -C2 -Y1 -p 65525:65535

3-3-5-2. Ouvrir les ports concernés▲

iptables -A INPUT -p tcp --dport 65525:65535 -m state --state NEW,ESTABLISHED -j ACCEPT

3-3-5-3. Vérification▲

Statut :        Connexion à 192.168.10.76:21...
Statut :        Connexion établie, attente du message d'accueil...
Réponse :       220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Réponse :       220-You are user number 1 of 3 allowed.
Réponse :       220-Local time is now 15:13. Server port: 21.
Réponse :       220-This is a private system - No anonymous login
Réponse :       220-IPv6 connections are also welcome on this server.
Réponse :       220 You will be disconnected after 15 minutes of inactivity.
Commande :      USER test
Réponse :       331 User test OK. Password required
Commande :      PASS ********
Réponse :       230-Your bandwidth usage is restricted
Réponse :       230-User test has group access to:  ftpgroup  
Réponse :       230 OK. Current directory is /
Commande :      OPTS UTF8 ON
Réponse :       200 OK, UTF-8 enabled
Statut :        Connecté
Statut :        Récupération du contenu du dossier...
Commande :      PWD
Réponse :       257 "/" is your current location
Commande :      TYPE I
Réponse :       200 TYPE is now 8-bit binary
Commande :      PASV
Réponse :       227 Entering Passive Mode (192,168,10,76,102,168)
Commande :      MLSD
Réponse :       150 Accepted data connection
Réponse :       226-Options: -a -l 
Réponse :       226 7 matches total
Statut :        Succès de la lecture du contenu du dossier
Statut :        Déconnecté du serveur
Statut :        Connexion à 192.168.10.76:21...
Statut :        Connexion établie, attente du message d'accueil...
Réponse :       220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Réponse :       220-You are user number 1 of 3 allowed.
Réponse :       220-Local time is now 15:22. Server port: 21.
Réponse :       220-This is a private system - No anonymous login
Réponse :       220-IPv6 connections are also welcome on this server.
Réponse :       220 You will be disconnected after 15 minutes of inactivity.
Commande :      AUTH TLS
Réponse :       234 AUTH TLS OK.
Statut :        Initialisation TLS...
Statut :        Vérification du certificat...
Commande :      USER test
Statut :        Connexion TLS/SSL établie.
Réponse :       331 User test OK. Password required
Commande :      PASS ********
Réponse :       230-Your bandwidth usage is restricted
Réponse :       230-User test has group access to:  ftpgroup  
Réponse :       230 OK. Current directory is /
Commande :      SYST
Réponse :       215 UNIX Type: L8
Commande :      FEAT
Réponse :       211-Extensions supported:
Réponse :        EPRT
Réponse :        IDLE
Réponse :        MDTM
Réponse :        SIZE
Réponse :        REST STREAM
Réponse :        MLST type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
Réponse :        MLSD
Réponse :        AUTH TLS
Réponse :        PBSZ
Réponse :        PROT
Réponse :        UTF8
Réponse :        TVFS
Réponse :        ESTA
Réponse :        PASV
Réponse :        EPSV
Réponse :        SPSV
Réponse :        ESTP
Réponse :       211 End.
Commande :      OPTS UTF8 ON
Réponse :       200 OK, UTF-8 enabled
Commande :      PBSZ 0
Réponse :       200 PBSZ=0
Commande :      PROT P
Réponse :       200 Data protection level set to "private"
Statut :        Connecté
Statut :        Récupération du contenu du dossier...
Commande :      PWD
Réponse :       257 "/" is your current location
Commande :      TYPE I
Réponse :       200 TYPE is now 8-bit binary
Commande :      PASV
Réponse :       227 Entering Passive Mode (192,168,10,76,196,229)
Commande :      MLSD
Erreur :        Délai d'attente expiré
Erreur :        Échec lors de la récupération du contenu du dossier
Statut :        Connexion à 192.168.10.76:21...
Statut :        Connexion établie, attente du message d'accueil...
Réponse :       220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Réponse :       220-You are user number 1 of 3 allowed.
Réponse :       220-Local time is now 15:54. Server port: 21.
Réponse :       220-This is a private system - No anonymous login
Réponse :       220-IPv6 connections are also welcome on this server.
Réponse :       220 You will be disconnected after 15 minutes of inactivity.
Commande :      AUTH TLS
Réponse :       234 AUTH TLS OK.
Statut :        Initialisation TLS...
Statut :        Vérification du certificat...
Commande :      USER test
Statut :        Connexion TLS/SSL établie.
Réponse :       331 User test OK. Password required
Commande :      PASS ********
Réponse :       230-Your bandwidth usage is restricted
Réponse :       230-User test has group access to:  ftpgroup  
Réponse :       230 OK. Current directory is /
Commande :      OPTS UTF8 ON
Réponse :       200 OK, UTF-8 enabled
Commande :      PBSZ 0
Réponse :       200 PBSZ=0
Commande :      PROT P
Réponse :       200 Data protection level set to "private"
Statut :        Connecté
Statut :        Récupération du contenu du dossier...
Commande :      PWD
Réponse :       257 "/" is your current location
Commande :      TYPE I
Réponse :       200 TYPE is now 8-bit binary
Commande :      PASV
Réponse :       227 Entering Passive Mode (192,168,10,76,255,248) Donc le port 65528
Commande :      MLSD
Réponse :       150 Accepted data connection
Réponse :       226-Options: -a -l 
Réponse :       226 7 matches total
Statut :        Succès de la lecture du contenu du dossier

Nous devons nous assurer que les règles Iptables seront restaurées. Une solution pas vilaine consiste à sauvegarder les règles en place :

mkdir /etc/iptables
iptables-save > /etc/iptables/rules

Et de les recharger lorsque l'interface eth0 est activée. Nous devons aussi charger le module nf-conntrack-ftp. Tout ceci peut être fait avec un script placé dans /etc/network/if-up.d/ (Sur Debian et dérivées) :

# cat /etc/network/if-up.d/netfilter
#! /bin/sh
if [ "$IFACE" = eth0 ]; then
    /sbin/modprobe nf-conntrack-ftp
    /sbin/iptables-restore < /etc/iptables/rules
fi

Ne pas oublier de rendre ce script exécutable et éventuellement l'améliorer pour par exemple s'assurer que tout s'est bien passé.

Il nous faut ajouter dans le fichier /etc/inetd.conf la ligne suivante :

ftp  stream tcp nowait root /usr/sbin/pure-ftpd -j -lpuredb:/etc/pure-ftpd/pureftpd.pdb -E -T:30 -c3 -C2 -Y1 -p 65525:65535

Puis demander à inetd de recharger sa configuration.

Tout devrait fonctionner, du moins en IPv4.

3-4-2-1. Et IPv6 ?▲

ftp  stream tcp6 nowait root /usr/sbin/pure-ftpd -j -lpuredb:/etc/pure-ftpd/pureftpd.pdb -E -T:30 -c3 -C2 -Y1 -p 65525:65535

Jusqu'ici, nous avons travaillé sur des nœuds situés sur des réseaux privés, routés entre eux. Une sorte de gros réseau local donc. Mais si les nœuds doivent se joindre par l'internet, il y aura de nouveaux problèmes à régler.

Probablement que dans tous les cas, les clients seront placés derrière un routeur NAT muni d'un pare-feu…

3-4-3-1. FTP sur la passerelle▲

3-4-3-2. FTP dans le LAN▲

Notre architecture devient un peu plus compliquée puisque :

• le client FTP est derrière un routeur NAT ;
• le serveur lui aussi se trouve derrière un routeur NAT.

Ce qui nous donne :

Sur la passerelle du client (GNU/Linux avec iptables), nous avons chargé les modules nf-conntrack-ftp et nf-nat-ftp, nécessaires pour que le client puisse utiliser le mode actif.

Notons que dans un cas de figure comme celui-ci, si nous comptons sur le suivi de connexion pour résoudre nos problèmes de connexions RELATED, celui-ci sera mis en œuvre :

• pour le mode passif côté serveur ;
• pour le mode actif côté client.

En nous souvenant de ce qui a déjà été vu à propos du suivi de connexion en FTPES, nous pouvons prévoir une impasse…

Dans cette configuration, l'adresse IP(v4) du serveur sera une adresse privée. Or de l'extérieur, la seule adresse accessible sera l'IP publique attribuée par le fournisseur d'accès.

La première idée qui vient à l'esprit est donc de rediriger en DNAT le port 21 du routeur sur l'adresse IP du serveur.

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to-destination 192.168.10.76

Pouvons-nous prévoir le comportement ? Une requête arrivant sur xxx.yyy.zzz.ttt port 21 va être redirigée sur notre serveur. Il répondra à la requête. Côté canal de contrôle, il ne devrait pas y avoir de problèmes.

Dans ce mode, où le client FTP devient serveur pour les DATA, le serveur ne devrait pas poser de problèmes, s'il reçoit l'adresse IP publique du routeur NAT du client. S'il y a un problème, il faudra donc chercher à le résoudre du côté du client, mais avec les modules de suivi de connexion du protocole FTP de Netfilter, nous avons nos chances.

3-5-4-1. Essai en FTP▲

Statut :        Connexion à 82.243.80.13:21...
...
Commande :      OPTS UTF8 ON
Réponse :       200 OK, UTF-8 enabled
Statut :        Connecté
Statut :        Récupération du contenu du dossier...
Commande :      PWD
Réponse :       257 "/" is your current location
Commande :      TYPE I
Réponse :       200 TYPE is now 8-bit binary
Commande :      PORT 192,168,0,16,204,129
Réponse :       200 PORT command successful
Commande :      MLSD
Réponse :       150 Connecting to port 52353
Réponse :       226-Options: -a -l 
Réponse :       226 7 matches total
Statut :        Succès de la lecture du contenu du dossier

...
     19 0.386311    82.229.41.132         82.243.80.13          FTP      Request: TYPE I
     20 0.386608    82.243.80.13          82.229.41.132         FTP      Response: 200 TYPE is now 8-bit binary
     21 0.435339    82.229.41.132         82.243.80.13          FTP      Request: PORT 82,229,41,132,143,22
     22 0.435765    82.243.80.13          82.229.41.132         FTP      Response: 200 PORT command successful
...
     25 0.522738    82.243.80.13          82.229.41.132         FTP      Response: 150 Connecting to port 36630

3-5-4-2. Essai en FTPES▲

Commande :      PORT 192,168,0,16,186,176
Réponse :       500 I won't open a connection to 192.168.0.16 (only to 82.229.41.132)

Nous avons déjà vu ce qu'il se passe côté serveur. Sur le routeur NAT du serveur, il faudra donc aussi rediriger les ports que nous avons spécifié dans la configuration de pure-ftpd :

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 65525:65535 -j DNAT --to-destination 192.168.10.76

Cette solution sera acceptable dans la mesure où il n'y a qu'un seul serveur FTP derrière le NAT.

3-5-5-1. Essai en FTP▲

Ici, nous risquons de rencontrer un problème du fait que dans ce mode, le serveur va présenter son adresse IP qui est ici privée donc, non routée. FileZilla sait contourner cette erreur, mais nous allons lui dire de ne pas le faire :

Ce qui nous permettra de mettre en évidence cette erreur :

 

Sélectionnez

Commande :      PASV
Réponse :       227 Entering Passive Mode (192,168,10,76,255,251)
Statut :        Le serveur a envoyé une réponse passive avec une adresse non routable. Échec du mode passif.
Erreur :        Échec lors de la récupération du contenu du dossier

Comment corriger cette erreur ? Il y a deux façons de faire, dont une que nous avons déjà rencontrée côté client pour le mode actif :

3-5-5-1-1. Netfilter, au secours !▲

En chargeant les modules nf-conntrack-ftp et nf-nat-ftp, nous avons nos chances :

 

Sélectionnez

Commande :      PASV
Réponse :       227 Entering Passive Mode (82,243,80,13,255,245)
Commande :      MLSD
Réponse :       150 Accepted data connection
Réponse :       226-Options: -a -l 
Réponse :       226 6 matches total
Statut :        Succès de la lecture du contenu du dossier

Et ça fonctionne. Le conntrack corrige à la volée. C'est bien, surtout si le routeur NAT du serveur récupère une adresse IP publique qui change dans le temps, mais il est clair qu'en mode FTPES, ceci ne fonctionnera plus.

3-5-5-1-2. Dans pure-ftpd▲

Il est parfaitement possible de demander à pure-ftpd d'exposer l'adresse IP publique de sa passerelle, lorsqu'il travaille en mode passif. Cette solution ne sera acceptable que si cette passerelle dispose d'une adresse IP publique fixe, bien entendu.

Nous modifions la ligne de commande comme suit (elle commence à devenir vraiment longue) dans /etc/inetd.conf :

 

Sélectionnez

ftp  stream tcp4 nowait root /usr/sbin/pure-ftpd -j -lpuredb:/etc/pure-ftpd/pureftpd.pdb -E -T:30 -c3 -C2 -Y1 -p 65525:65535 -P 82.243.80.13

Cette opération va perturber le fonctionnement du suivi de connexions FTP de Netfilter, aussi bien sur le serveur lui-même que sur son routeur NAT. Sur le routeur, ce n'est pas important puisque les ports réservés au mode passif sont déjà explicitement redirigés.

Sur le serveur lui-même, en revanche nous avons actuellement :

 

Sélectionnez

:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Il nous faut maintenant ouvrir explicitement les ports 65525 à 65535 à cause du suivi de connexion rendu inopérant :

 

Sélectionnez

iptables -A INPUT -i eth1 -p tcp --dport 65525:65535 -j ACCEPT

Nous rechargeons la configuration de inetd et nous essayons :

 

Sélectionnez

Commande :      PASV
Réponse :       227 Entering Passive Mode (82,243,80,13,255,248)
Commande :      MLSD
Réponse :       150 Accepted data connection
Réponse :       226-Options: -a -l 
Réponse :       226 6 matches total
Statut :        Succès de la lecture du contenu du dossier

Tout va bien.

3-5-5-2. Essai en FTPES▲

Commande :      AUTH TLS
Réponse :       234 AUTH TLS OK.
...
Commande :      PASV
Réponse :       227 Entering Passive Mode (82,243,80,13,255,245)
Commande :      MLSD
Réponse :       150 Accepted data connection
Réponse :       226-Options: -a -l 
Réponse :       226 6 matches total
Statut :        Succès de la lecture du contenu du dossier

Si nous donnons la priorité à l'usage du FTPES qui offre le chiffrement de la connexion, dans une telle topologie où le serveur comme les clients se trouvent derrière des routeurs NAT, la seule solution est de faire du FTP passif.

Bien entendu, en IPv6 tout devient plus simple puisqu'il n'y a plus de NAT nulle part. Un jour peut-être ?

En attendant résumons les configurations des divers protagonistes :

3-5-6-1. Serveur FTP▲

# lsmod | grep ftp

nf_conntrack_ftp        5505  0 
nf_conntrack           46311  6 iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state,xt_conntrack,nf_conntrack_ftp

3-5-6-2. Routeur NAT du FTP▲

# lsmod | grep ftp

nf_nat_ftp              1999  0 
nf_conntrack_ftp        5505  1 nf_nat_ftp
nf_nat                 13276  3 nf_nat_ftp,ipt_MASQUERADE,iptable_nat
nf_conntrack           46327  7 nf_nat_ftp,nf_conntrack_ftp,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state

3-5-6-3. Routeur NAT des clients▲

3-5-6-4. Rappel important▲

3-5-6-5. Une autre piste▲

Une solution intéressante, mais qui sort du cadre de cette étude sur FTP consiste à établir un tunnel chiffré, par exemple entre la passerelle du réseau contenant le serveur FTP et le poste du client :

Dans ce cas, le tunnel étant lui-même chiffré, rien n'interdirait d'abandonner FTPES au profit de FTP, ce qui simplifierait le problème. Dans une telle topologie, le client pourrait même à travers son tunnel accéder à tous les nœuds de son réseau privé. Une solution comme openvpn supporte très bien de passer un routeur NAT, encore faudra-t-il que les pare-feux laissent passer le tunnel. Mais tout ceci est une autre histoire.