filezilla: port forwarding?

filezilla: port forwarding? - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 14-04-2007 à 23:57:14    

Voila, j'ai installé un serveur Filezilla 0.9.23b ainsi que le client dyndns sur un PC derriere un routeur linksys.
 
En config standard, port 21 d'ouvert, je peux atteindre le serveur localement par un navigateur.
 
seulement, un petit malin l'autre jour a tenté de penetrer sur mon serveur ftp
et a tenté une attaque par dictionnaire (utilisateur Admin).
 
Il n'a pas reussi, etant devant la machine et ayant fermé le service.
 
Je  tente donc de changer de port, vers le 900 par ex. Config dans filezilla et redirection du port 900 du routeur vers le PC serveur.
Maintenant la commande ftp ainsi que l'URL ftp://monserveur.dyndns.net/900 echouent et indiquent adresse inconnue "monserveur.dyndns.net:900"???
 
toute suggestion est bienvenue!
 

Reply

Marsh Posté le 14-04-2007 à 23:57:14   

Reply

Marsh Posté le 15-04-2007 à 00:35:37    

heu...tu sais que la version 0.9.23 contient un ban automatique au bout d'un nombre configurable d'authentification échoués...

Reply

Marsh Posté le 16-04-2007 à 22:13:10    

un ban permanent oui, mais pas sur les utilisateurs configures normalement qui doivent toujours pouvoir se logger (c'est ce que dit la page de config).

 

L'autoban est egalement sur off par defaut.

 

Une autre idee?


Message édité par aladin3 le 16-04-2007 à 22:23:20
Reply

Marsh Posté le 17-04-2007 à 00:39:31    

Pour le ftp tu as 2 ports :
- 21 pour les commandes
- 20 pour les données
 
D'un autre côté, faire du ftp avec un navigateur (ftp://bidule) est vraiment pas recommandé. Un navigateur n'est pas fait pour ça (même s'il tente de faire croire que...)
 
Ta question est de savoir si tu veux réellement modifier le port de fonctionnement de ton ftp ou si c'est simplement pour éviter les pirates...
Ton port "perso" sera forcément moins scanné, mais à partir du moment où :
- pas de compte anonyme
- les mdp des comptes existants restent difficiles à trouver par bruteforce (>=6 caractères, pas de mots du dico, mélange de lettres et chiffres)
- ton serveur ftp banne automatiquement l'ip à partir de 5-10 ou X demandes d'authentifications successives
 
Alors tu ne risques pas gd-chose...


Message édité par trevor le 17-04-2007 à 00:39:51
Reply

Marsh Posté le 17-04-2007 à 02:19:46    

aladin3 a écrit :

un ban permanent oui, mais pas sur les utilisateurs configures normalement qui doivent toujours pouvoir se logger (c'est ce que dit la page de config).
 
L'autoban est egalement sur off par defaut.
 
Une autre idee?


 
Ah non, l'autoban est un ban temporaire dont tu peux définir la durée entre 1 et 999 heures...Et tu peux définir le nombre d'essais infructueux...
Donc si tu mets 15 essais avec une heure...je pense que c'est assez bien pour limiter le ban injustifié...

Reply

Marsh Posté le 17-04-2007 à 11:00:23    

De toute façon, les bans sur ip... avant que l'un de ses potes chope par inadvertance l'une des ip éventuellement dans la liste des bans. Y'a presque plus de chances de gagner à l'euromillions :D
Bon en plus avec un ban seulement temporaire, le moteur de scan laissera tomber dès qu'il se fera refouler, et ira voir ailleurs un autre port 21 ouvert avec une config sécu de merde (compte anonymous, compte admin/admin, etc.)


Message édité par trevor le 17-04-2007 à 11:01:08
Reply

Marsh Posté le 17-04-2007 à 15:44:55    

C'est bien pour ca que je l'ai activé...c'est bizarre, mais depuis : plus aucuns problèmes :)

Reply

Marsh Posté le 18-04-2007 à 16:33:13    

trevor a écrit :

Pour le ftp tu as 2 ports :
- 21 pour les commandes
- 20 pour les données
 
D'un autre côté, faire du ftp avec un navigateur (ftp://bidule) est vraiment pas recommandé. Un navigateur n'est pas fait pour ça (même s'il tente de faire croire que...)
 
Ta question est de savoir si tu veux réellement modifier le port de fonctionnement de ton ftp ou si c'est simplement pour éviter les pirates...
Ton port "perso" sera forcément moins scanné, mais à partir du moment où :
- pas de compte anonyme
- les mdp des comptes existants restent difficiles à trouver par bruteforce (>=6 caractères, pas de mots du dico, mélange de lettres et chiffres)
- ton serveur ftp banne automatiquement l'ip à partir de 5-10 ou X demandes d'authentifications successives
 
Alors tu ne risques pas gd-chose...


 
Oui, il s'agit uniquement de changer de port pour eviter les pirates.  Donc mon idee est de passer des ports declares ouverts n° 20+21 a une autre paire n° tq 900+901 par ex. Afin de minimiser une tentative d'intrusion comme celle vue recemment.
 
ceci dit, si je vous suis bien, une fois l'autoban active avec un nombre d'essais max de 10 par ex, ca suffit egalement. J'ai en effet deja des mdp solides et une banniere modifiee. Je suppose qu'il n'existe pas de comptes
cachés dans filezilla (genre Admin), me trompe je?

Reply

Marsh Posté le 18-04-2007 à 17:18:02    

En effet...seuls les comptes créés existent...pas de comptes inchangeable par défaut...
 
Maintenant, si tu veux AUSSI faire une redirection de port, il te faut faire un forward de ce type (si je me trompe, corrigez moi)
 
900 UDP Externe 20 UPD Interne -> Ip Serveur
901 TCP Externe 21 TCP Interne -> Ip Serveur

Reply

Marsh Posté le 18-04-2007 à 21:08:24    

Uniquement si c'est impossible de modifier les ports sur le serveur FTP. Ce qui est bien plus courant que les routeurs faisant du PAT (Port Address Translation)


Message édité par trevor le 18-04-2007 à 21:08:31
Reply

Marsh Posté le 18-04-2007 à 21:08:24   

Reply

Marsh Posté le 18-04-2007 à 21:35:52    

arf...C'est vrai que je réagis en fonction de mon matériel...

Reply

Marsh Posté le 18-04-2007 à 21:42:42    

Salut, voilà ce que je ferais perso :
 
1/ Mettre le routeur en DMZ (zone démilitarisée) comme ca plus de port forwarding à faire, je peux même mettre frp sur 65533 et le routeur ne me fait pas c*i*r !
2/ Configurer FileZilla server comme je veux
3/ Activer l'autoban avec par exemple un maximum de 8 authentifications ratées pour un ban de 1/2/3 h...
 
Voilà, après reste à voir si tu fera de même ;)

Reply

Marsh Posté le 18-04-2007 à 22:21:02    

trevor a écrit :

Pour le ftp tu as 2 ports :
- 21 pour les commandes
- 20 pour les données
 
D'un autre côté, faire du ftp avec un navigateur (ftp://bidule) est vraiment pas recommandé. Un navigateur n'est pas fait pour ça (même s'il tente de faire croire que...)
 
Ta question est de savoir si tu veux réellement modifier le port de fonctionnement de ton ftp ou si c'est simplement pour éviter les pirates...
Ton port "perso" sera forcément moins scanné, mais à partir du moment où :
- pas de compte anonyme
- les mdp des comptes existants restent difficiles à trouver par bruteforce (>=6 caractères, pas de mots du dico, mélange de lettres et chiffres)
- ton serveur ftp banne automatiquement l'ip à partir de 5-10 ou X demandes d'authentifications successives
 
Alors tu ne risques pas gd-chose...


 
+ que le serveur ne réponde pas au ping. Vu que les gus qui s'amusent à ça scannent des plages d'adresses, autant rester discret.


---------------

Reply

Marsh Posté le 18-04-2007 à 23:36:35    

Mon routeur répond pas au ping, ça empeche pas mon serveur ftp de banner en moyenne 3-4 ips par semaine de petits rigolos me croyant assez cave pour avoir fait un compte admin/admin :D. Mais c'est effectivement tjs un plus de sécurité.
 
Perso, je déconseille de passer en DMZ. La DMZ c'est bon quand :
- on est une grosse feignasse
- on est une grosse tanche qui sait pas faire du forwarding correctement
- les serveurs devant être dispos utilisent des protocoles difficilement routables
 
Sachant que les 2 1ères ne sont pas des raisons pertinentes pour moi :D


Message édité par trevor le 18-04-2007 à 23:37:47
Reply

Marsh Posté le 19-04-2007 à 11:42:29    

trevor a écrit :

Uniquement si c'est impossible de modifier les ports sur le serveur FTP. Ce qui est bien plus courant que les routeurs faisant du PAT (Port Address Translation)


 
Dans filezilla je peux changer le n° de port aisement, mais le routeur (Linksys WRT54GS) ne permet que le port forwarding et non pas le PAT apparemment.

Reply

Marsh Posté le 19-04-2007 à 19:16:34    

Bon ben soit la DMZ soit un forwarding clean...
Créé une nouvelle règle avec les ports que tu as choisis et applique la pour l'IP de ton serveur...
Ca devrait être OK...

Reply

Marsh Posté le 23-04-2007 à 16:08:04    

darren a écrit :

+ que le serveur ne réponde pas au ping. Vu que les gus qui s'amusent à ça scannent des plages d'adresses, autant rester discret.


 
Oui, c'est une bonne idee. Dans l'onglet securite de mon routeur j'ai active l'option  
"Blocage des requêtes Internet anonymes", mais un ping  sur l'adresse  IP courante  (adresse dynamique) fonctionne toujours:
$ ping x.x.x.x
64 bytes from x.x.x.x: icmp_seq=0 ttl=64 time=0ms
...
 
Ya t-il un autre parametre a ajuster?

Reply

Marsh Posté le 23-04-2007 à 20:09:16    

Regle ca dans ton routeur, bloque les requetes ping entrantes (parfois appelées requete echo entrantes) toujours en ICMP ;)

Reply

Marsh Posté le 09-04-2009 à 00:10:03    

Bonsoir à tous !
 
Voici mon log de filezilla serveur :
 
(000476) 08/04/2009 13:34:52 - (not logged in) (121.22.24.61)> USER alec
(000476) 08/04/2009 13:34:52 - (not logged in) (121.22.24.61)> 331 Password required for alec
(000476) 08/04/2009 13:34:58 - (not logged in) (121.22.24.61)> USER alec
(000476) 08/04/2009 13:34:58 - (not logged in) (121.22.24.61)> 331 Password required for alec
(000476) 08/04/2009 13:35:06 - (not logged in) (121.22.24.61)> USER alec
(000476) 08/04/2009 13:35:06 - (not logged in) (121.22.24.61)> 331 Password required for alec
(000476) 08/04/2009 13:35:14 - (not logged in) (121.22.24.61)> PASS ********
(000476) 08/04/2009 13:35:14 - (not logged in) (121.22.24.61)> 530 Login or password incorrect!
(000476) 08/04/2009 13:35:37 - (not logged in) (121.22.24.61)> PASS ********
(000476) 08/04/2009 13:35:37 - (not logged in) (121.22.24.61)> 530 Login or password incorrect!
(000476) 08/04/2009 13:35:47 - (not logged in) (121.22.24.61)> 421 Login time exceeded. Closing control connection.
(000476) 08/04/2009 13:35:47 - (not logged in) (121.22.24.61)> disconnected.
(000477) 08/04/2009 13:35:47 - (not logged in) (121.22.24.61)> Connected, sending welcome message...
(000477) 08/04/2009 13:35:53 - (not logged in) (121.22.24.61)> USER alex
(000477) 08/04/2009 13:35:53 - (not logged in) (121.22.24.61)> 331 Password required for alex
(000477) 08/04/2009 13:35:59 - (not logged in) (121.22.24.61)> USER alex
(000477) 08/04/2009 13:35:59 - (not logged in) (121.22.24.61)> 331 Password required for alex
(000477) 08/04/2009 13:36:07 - (not logged in) (121.22.24.61)> USER alex
(000477) 08/04/2009 13:36:07 - (not logged in) (121.22.24.61)> 331 Password required for alex
(000477) 08/04/2009 13:36:15 - (not logged in) (121.22.24.61)> PASS  
(000477) 08/04/2009 13:36:15 - (not logged in) (121.22.24.61)> 530 Login or password incorrect!
(000477) 08/04/2009 13:36:38 - (not logged in) (121.22.24.61)> PASS  
(000477) 08/04/2009 13:36:38 - (not logged in) (121.22.24.61)> 530 Login or password incorrect!
(000477) 08/04/2009 13:36:48 - (not logged in) (121.22.24.61)> 421 Login time exceeded. Closing control connection.
(000477) 08/04/2009 13:36:48 - (not logged in) (121.22.24.61)> disconnected.
(000478) 08/04/2009 13:36:51 - (not logged in) (121.22.24.61)> Connected, sending welcome message...
(000478) 08/04/2009 13:36:57 - (not logged in) (121.22.24.61)> USER alex
(000478) 08/04/2009 13:36:57 - (not logged in) (121.22.24.61)> 331 Password required for alex
(000478) 08/04/2009 13:37:03 - (not logged in) (121.22.24.61)> USER alex
(000478) 08/04/2009 13:37:03 - (not logged in) (121.22.24.61)> 331 Password required for alex
(000478) 08/04/2009 13:37:11 - (not logged in) (121.22.24.61)> USER alex
(000478) 08/04/2009 13:37:11 - (not logged in) (121.22.24.61)> 331 Password required for alex
(000478) 08/04/2009 13:37:19 - (not logged in) (121.22.24.61)> PASS ******
(000478) 08/04/2009 13:37:19 - (not logged in) (121.22.24.61)> 530 Login or password incorrect!
(000478) 08/04/2009 13:37:42 - (not logged in) (121.22.24.61)> PASS ******
(000478) 08/04/2009 13:37:42 - (not logged in) (121.22.24.61)> 530 Login or password incorrect!
(000478) 08/04/2009 13:37:52 - (not logged in) (121.22.24.61)> 421 Login time exceeded. Closing control connection.
(000478) 08/04/2009 13:37:52 - (not logged in) (121.22.24.61)> disconnected.
(000479) 08/04/2009 13:37:52 - (not logged in) (121.22.24.61)> Connected, sending welcome message...
 
(Je passe de 13h34 à 14h30 . .  !)
 
Comme vous pouver le constater, il y a eu tentative d'intrusion & ce n'est pas la 1ère fois !
J'ai 2 solutions :
L'autoban qui ne me plait qu'à moitié car il y a minimum 5 tentatives, alors que mon serveur est totalement privé (Photos familles etc . . . ) & que les différents comptes ont tous été crées & donc ne peuvent, sauf mauvaises manips, rater leurs identifications !
L'autre serait d'utiliser SSL/TLS !
 
Votre avis SVP & comment fonctionne SSL ?
Merci

Reply

Marsh Posté le 09-04-2009 à 00:19:20    

il est ou le soucis ?.  il y a des mechants qui essaie un couple log/mot-de-passe sur ton serveur FTP ?.  et puis: tu n'a rien à craindre. Si tu as mis des mots de passe assez balèze, tu ne risque rien.
 
Le soucis vient plutot du protocol FTP : le login et le mot de passe circule de manière non crypter sur le net. C'est bien la l'un des inconvenient  majeur.
 
et contre ça, si tu es parano, alors il faut changer de techno et oublier le FTP pour passer en SFTP par exemple ou bien monter un VPN (avec openvpn par exemple) à travers lequel tu fera ton FTP.
 
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed