FTP : Mode Actif / Mode Passif ?

FTP : Mode Actif / Mode Passif ? - Windows & Software

Marsh Posté le 15-12-2002 à 23:45:27    

Je me suis fait un serveur FTP avec Serv-U.
 
Pouvez-vous m'expliquer la différence entre le mode actif et le mode passif en termes de facilité d'utilisation et de sécurité.
 
Qu'est-ce qui est le plus utilisé ?
 
Vous avez des bons liens pour les nuls ? Et plus si affinités ?
 
Merci bien.  :bounce:


Message édité par charly007 le 15-12-2002 à 23:49:20
Reply

Marsh Posté le 15-12-2002 à 23:45:27   

Reply

Marsh Posté le 15-12-2002 à 23:51:11    

faudrait que blueteen passe par là, il connait bien le sujet  ;)

Reply

Marsh Posté le 15-12-2002 à 23:59:10    

en mode port apparemment seul le port 21 est utilise pour les commandes et le port 20 pour les transferts, en mode passif, on utilise un port qui fait les 2, e port est alloué par le serveur ftp.
 
en ce qui concerne le mode port, je n arrive pas a comprendre si plusieurs utilisateurs peuvent s y connecter simultanement ?, j ai deja fait l essai et apparement un seul utilisateur peut communiquer avec le serveur, ou tout du moins c est chacun son tour, et pour les transferts de donnees chaque utilisateurs a un port different.
et le mode passif permettrait en fait de rester tout le temps connecter, car tous les utilisateurs auraient ubn port different.
 
j ai faux ?


Message édité par Clarkent le 16-12-2002 à 00:36:11

---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 16-12-2002 à 00:00:52    

passe ton ip, on va tester  :D  
 :lol:  :lol:  :lol:

Reply

Marsh Posté le 16-12-2002 à 00:39:11    

c plus complexe que ca.
 
le mode passif est utilisé en cas de regle de nat, d'apres ce que j'ai pu comprendre ( la j'ai encore des lacunes ) en mode passif, c'est le serveur qui initialise le transfert des données sur un port X et non le client kom en mode actif sur le port 20.
 
mais dans tout les cas ca devrait marcher pour plusieurs utilisateurs, y manquerai plus que ca que ca limite le nb de sessions ... m'enfin me trompe peut etre ... surement meme ;)
 
 
 
PS : je viens de trouver ca vite fait sur google :
http://www.crans.ens-cachan.fr/vie/boci/ftppasv.html
 
Apparement, dans tout les cas la connection serait initialisé par le client ... zarb  :heink:  
 
A vos RFC !


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 16-12-2002 à 00:45:53    

regle nat ou pas les deux passes.
seul pb en passif, c est qu il faut ouvrir les ports du mode passif sinon ca passe pas.
en actif y a pas de soucis car normalement c est toujours les memes ports.
mais en actif il est probbale que le port pour envoyer les donnees soient indique par le serveur.
mais pas les commandes.


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 16-12-2002 à 07:09:16    

Moi j'ai un pb avec ces modes je suis derrière un firewall (isa server 2000), dès que le server n'est pas sur le port 21, en ouvrant le dit port, la connexion passe mias les données ne sont pas listées du coup je passe en timeout et ce quel que soit le mode. Je me suis renseigné et il paraîtrait que ce la provienne du nat.

Reply

Marsh Posté le 16-12-2002 à 08:42:07    

faut que tu ouvre le port 20 sur ton firewall


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 16-12-2002 à 10:11:08    

j'ai déjà ouvert le port 20 sur le firewall mais c'est pareil

Reply

Marsh Posté le 16-12-2002 à 10:55:30    

:sweat:


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 16-12-2002 à 10:55:30   

Reply

Marsh Posté le 16-12-2002 à 15:02:05    

bruno31 a écrit :

faut que tu ouvre le port 20 sur ton firewall  

pas besoin d ouvrir le port 20 normalement.
mais ca c es pour le mode actif.
si t es en mode passif il faut preciser a ton ftp une plage de port quil peut utiliser, et tu ouvres cette plage de port sur ton firewall et la ca fonctionnera, car en fait ton ftp dis a ton client de se connecter sur un autre port et ton firewall bloque evidemment la connexion.
 
sinon personne a de reponse concernant l interet du moe avtif et passif ?


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 16-12-2002 à 15:17:33    

Clarkent a écrit :

pas besoin d ouvrir le port 20 normalement.
mais ca c es pour le mode actif.
si t es en mode passif il faut preciser a ton ftp une plage de port quil peut utiliser, et tu ouvres cette plage de port sur ton firewall et la ca fonctionnera, car en fait ton ftp dis a ton client de se connecter sur un autre port et ton firewall bloque evidemment la connexion.
 
sinon personne a de reponse concernant l interet du moe avtif et passif ?

+1
Avantages/défauts des 2modes :??:

Reply

Marsh Posté le 16-12-2002 à 23:33:41    

up ...


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 17-12-2002 à 00:07:21    

DarkAngel a écrit :

+1
Avantages/défauts des 2modes :??:  


+1

Reply

Marsh Posté le 17-12-2002 à 01:54:26    

Je vais peut etre dire une connere mais par experience, le Mode Actif s'utiliserai quand vous ne faites pas de "translation d'adresse" ou plutot lorsque vous n'etes pas filtré, en lan par exemple, ou entre 2 machines connectés directement au net en ip publiques fixes.
 
Si vous etes derriere un "firewall" qui filtre plus ou moins, il faudra surement passer en passive ...
 
Apres vous dire les details .... si j'ai 3 heures a perdre je me taperai la RFC ;)


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 17-12-2002 à 01:59:26    

bein je suis derriere un routeur et je peux tres bien faire passer le mode actif ou le mode passif.


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 17-12-2002 à 02:04:17    

chez moi aussi , mais apparement on peux autoriser le passive au niveau du soft ...
 
puis au niveau routeur, si tu nat les ports 20 & 21, cela revient a avoir une ip publique ou presk :)
 
donc normal que les 2 fonctionnent ;)
 
faudrait faire des tests de transferts ... ca devrait fonctionner mieux en actif, mais le % d'ecrat doit etre tres faible ( je pense a une encapsulation  :whistle: )


---------------
http://www.hardfr.org/ [HardFr]
Reply

Marsh Posté le 17-12-2002 à 02:18:52    

je crois aps qu il y ai besoin de router le 20.
puis que le 21 c est les commandes et le 20 le transfert, c est le serveur qui emets des donnees sur le 20 donc pas besoin de le router.
 
le mode passif lui negocie une premeir fois l autorisation dela connexion sur le 21 puis s il accepte la connexion renegocie tout ca sur un autre port et sur ce port il y a le transfert et les commandes.


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 17-12-2002 à 10:06:40    

Dans les 2 modes, les ports de controle et de donnees sont 21 et 20. La connexion de controle est initialisee par le client:
Controle: Client port>1023 -> Serveur port21
 
MODE ACTIF:
Le client envoie au serveur sa propre adresse IP et un numero de port>1023. Le serveur communique donc avec la vraie adresse du client a partir du port20 et est a l'origine de la connexion donnees.
Ca fonctionne si le client n'est pas NATé. Le serveur peut etre NATé.
Donnees: Serveur port20 -> Client port>1023
 
MODE PASSIF:
Le serveur envoie au client sa propre adresse IP et un port>1023. Le client communique donc avec la vraie adresse du serveur et est a l'origine de la connexion donnees.
Ca fonctionne si le serveur n'est pas NATé. Le client peut etre NATé.
Donnees: Client port>1023 -> Serveur port>1023

Reply

Marsh Posté le 17-12-2002 à 15:46:48    

pour le mode passif, certain serveur ftp te permettent de mettre l adresse ip public si ils sont derrieres un routeur + nat.
 
jene comprend pas l intret de communiquer directement avec la veritable adresse du serveur ou du client, a part le coup du nat, mais je comprends pas que cela soit pris en compte.


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 17-12-2002 à 17:11:54    

Par contre si le serveur ftp se trouve sur le port 5005 ou 1430, quand on est naté et derrière un firewall comment solutionner ce pb, on m'a effectivemnt dit que cela veniat du nat.

Reply

Marsh Posté le 17-12-2002 à 17:17:18    

ca depend du mode apparemment.


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 17-12-2002 à 21:32:37    

charly007 a écrit :

Je me suis fait un serveur FTP avec Serv-U.
 
Pouvez-vous m'expliquer la différence entre le mode actif et le mode passif en termes de facilité d'utilisation et de sécurité.
 
Qu'est-ce qui est le plus utilisé ?
 
Vous avez des bons liens pour les nuls ? Et plus si affinités ?
 
Merci bien.  :bounce:


 
Ouais, j'avais pas lu tout ton post.
 
MODE ACTIF:
Donnees: Serveur port20 -> Client port>1023  
Le serveur est a l'origine de la connexion vers le client. Cela represente une securite pour le serveur car il ne communique pas sa vraie adresse IP (s'il utilise du NAT), et il est possible de configurer son serveur pour qu'il refuse le mode passif (cf ci-dessous).
 
MODE PASSIF:
Donnees: Client port>1023 -> Serveur port>1023
Le client est a l'origine de la connexion vers le serveur. Cela represente une securite pour le client car il ne communique pas sa vraie adresse IP (s'il utilse du NAT), et aucun serveur ne se connecte sur le client (cf mode actif).
 
Donc en resume, si tu heberges des serveurs, il vaut mieux n'autoriser que le mode actif:
-serveur a l'origine de la connexion donnees (pas de connexion entrante)
-serveur ne communique pas sa vraie adresse IP (si NAT)
 
et si tu fais des clients:
-client a l'origine de la connexion donnees (pas de connexion entrante)
-client ne communique pas sa vraie adresse IP (si NAT)
 
Ca repond a la question ???

Reply

Marsh Posté le 17-12-2002 à 21:45:36    

admettons qu on soit en passif.
et que le serveur soit derriere un routeur + nat.
 
le serveur va communiquer son adresse ip en local, ce qui est je pense completement inutil car le client pourra jamais se connecter a une adresse ip local sur l internet.
il lui faut forcement l adresse ip public du serveur qui apres est redirige en local avec du nat, c'est probablement pour cela que des serveurs type ser-u demande dans sa config a ce que l on indique son ip publique si l on est derriere un routeur firewall + nat.
apres si a ce moment la pour se connecter le client a forcement l ip du serveur tout du moins son ip public.
j'en comprends donc toujours pas la reel difference.
 
les deux modes ont donc l ip du serveur.
et le serveur sait toujours qui s y connecte.


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 17-12-2002 à 21:51:04    

Clarkent a écrit :

admettons qu on soit en passif.
et que le serveur soit derriere un routeur + nat.
 
le serveur va communiquer son adresse ip en local, ce qui est je pense completement inutil car le client pourra jamais se connecter a une adresse ip local sur l internet.
il lui faut forcement l adresse ip public du serveur qui apres est redirige en local avec du nat, c'est probablement pour cela que des serveurs type ser-u demande dans sa config a ce que l on indique son ip publique si l on est derriere un routeur firewall + nat.
apres si a ce moment la pour se connecter le client a forcement l ip du serveur tout du moins son ip public.
j'en comprends donc toujours pas la reel difference.
 
les deux modes ont donc l ip du serveur.
et le serveur sait toujours qui s y connecte.


 
C'est pour cela que dans mon 1er post, j'ai indiqué:
 
MODE PASSIF:  
...
Ca fonctionne si le serveur n'est pas NATé. Le client peut etre NATé.  
...
 
Et dans ce cas, le serveur est joignable via son adresse publique, que le client connait.
 
Et si le serveur est NATé, dans ce cas, il faut le mode actif.

Reply

Marsh Posté le 17-12-2002 à 22:05:53    

1040stf a écrit :


 
C'est pour cela que dans mon 1er post, j'ai indiqué:
 
MODE PASSIF:  
...
Ca fonctionne si le serveur n'est pas NATé. Le client peut etre NATé.  
...
 
Et dans ce cas, le serveur est joignable via son adresse publique, que le client connait.
 
Et si le serveur est NATé, dans ce cas, il faut le mode actif.

c est pour ca que je precise que je suis naté que le mode passif ou actif passe tres bien.
seul l ip public doit etre indique dans le serveur.
 
donc quoi qu il arrive le client connait l adresse ip du serveur non ???


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le 17-12-2002 à 22:45:23    

Clarkent a écrit :

c est pour ca que je precise que je suis naté que le mode passif ou actif passe tres bien.
seul l ip public doit etre indique dans le serveur.
 
donc quoi qu il arrive le client connait l adresse ip du serveur non ???


 
Je pense en effet que le fait d'indiquer au serveur FTP son adresse publique l'oblige a communiquer en mode passif son adresse publique, qui elle est joignable. Mais tu connais ton soft mieux que moi et a toi de savoir si c'est realisable.
 
Alors dans ce cas, il s'agit d'une implementation proprietaire de l'application. T'as quoi comme soft de serveur FTP? Ca m'interesse :)

Reply

Marsh Posté le 17-12-2002 à 22:55:50    

bein je parle de serv-u.


---------------
"PAR LE POUVOIR DU CRÂNE ANCESTRAL, JE DETIENS LA FORCE TOUTE PUISSANTE".
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed