{"id":71,"date":"2008-09-03T09:35:40","date_gmt":"2008-09-03T07:35:40","guid":{"rendered":"http:\/\/wp1.fredptitgars.net\/index.php\/2008\/09\/03\/nat-et-ftp\/"},"modified":"2008-09-03T09:35:40","modified_gmt":"2008-09-03T07:35:40","slug":"nat-et-ftp","status":"publish","type":"post","link":"https:\/\/fredptitgars.ovh\/?p=71","title":{"rendered":"NAT et FTP"},"content":{"rendered":"

La probl\u00e9matique peut se poser soit du c\u00f4t\u00e9 client, soit du c\u00f4t\u00e9 serveur.<\/p>\n

Probl\u00e9matique c\u00f4t\u00e9 client<\/h2>\n

Le trafic FTP qui vise \u00e0 n\u00e9gocier les ports de transfert des donn\u00e9es du client vers le serveur est initi\u00e9 par le serveur (port d’origine TCP 20) \u00e0 destination d’un port TCP sup\u00e9rieur \u00e0 1024 vers le client. Ce mode FTP appel\u00e9 mode actif<\/strong> est celui qui est support\u00e9 par d\u00e9faut par les serveur FTP RFC 959<\/a>.<\/p>\n

\"ftp_actif.jpg\"<\/p>\n

Si le client est prot\u00e9g\u00e9 par un routeur NAT dynamique, ce trafic ne sera pas traduit car il ne fait pas partie d’une r\u00e8gle NAT configur\u00e9e pour un trafic initi\u00e9 de l’int\u00e9rieur. Alors que l’\u00e9tablissement d’une connexion de contr\u00f4le FTP sera possible, le transfert de donn\u00e9es ne le sera pas. A moins que de r\u00e9aliser une traduction statique de l’adresse locale interne vers l’adresse globale interne, il n’y a pas de solution NAT.
\n
La solution consiste \u00e0 \u00e9tablir une connexion FTP \u00e0 partir du client en mode passif<\/strong>. Dans ce mode, le client initie la n\u00e9gociation du port que le serveur propose. Vu qu’ici le trafic est initi\u00e9 derri\u00e8re le routeur NAT, le NAT en tant que tel ne pose plus de probl\u00e8me. Faut-il encore que le serveur supporte ce mode, ce qui est de plus en plus courant.<\/p>\n

\"ftp_passif.jpg\"<\/p>\n

Probl\u00e9matique c\u00f4t\u00e9 serveur.<\/h2>\n

A c\u00f4t\u00e9 du premier probl\u00e8me c\u00f4t\u00e9 client, on peut rencontrer un probl\u00e8me cumulatif c\u00f4t\u00e9 serveur. Il faut supposer que le serveur est h\u00e9berg\u00e9 derri\u00e8re, lui aussi, un routeur NAT configur\u00e9 avec un transfert de ports. Si le client initie lui-m\u00eame le transfert de donn\u00e9es vers des ports sup\u00e9rieurs \u00e0 1024 \u00e0 destination du serveur, comment le routeur NAT du serveur peut-il traduire le trafic entrant \u00e0 destination de ces ports qui ne font pas l’objet d’une configuration sp\u00e9cifique ?<\/p>\n

\"ftpserveur.jpg\"<\/p>\n

Heureusement les passerelles sont aujourd’hui capable de suivre le trafic FTP qui n\u00e9cessite une inspection du trafic FTP lui-m\u00eame au niveau de la couche applicative.<\/p>\n

Sur les passerelles Linux, il faudra par exemple activer et configurer les modules ip_conntrack_ftp et ip_nat_ftp du noyau. Si un routeur Cisco avec un IOS r\u00e9cent supportera cette fonctionnalit\u00e9 nativement pour le trafic initi\u00e9 sur le port TCP 21, il n’en sera pas de m\u00eame pour les services FTP \u00e9coutant sur un autre port que le port l\u00e9gal. Ce dernier cas n\u00e9cessitera une configuration sp\u00e9cifique \u00e0 suivre dans Using Non-Standard FTP Port Numbers with NAT<\/a>. On ira voir \u00e9galemnt le document suivant : FTP Zope derri\u00e8re une router Cisco [How-To].<\/p>\n","protected":false},"excerpt":{"rendered":"

La probl\u00e9matique peut se poser soit du c\u00f4t\u00e9 client, soit du c\u00f4t\u00e9 serveur. Probl\u00e9matique c\u00f4t\u00e9 client Le trafic FTP qui vise \u00e0 n\u00e9gocier les ports de transfert des donn\u00e9es du client vers le serveur est initi\u00e9 par le serveur (port d’origine TCP 20) \u00e0 destination d’un port TCP sup\u00e9rieur \u00e0 1024 vers le client. Ce […]<\/p>\n","protected":false},"author":2,"featured_media":68,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24],"tags":[],"class_list":["post-71","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cisco"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/posts\/71","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=71"}],"version-history":[{"count":0,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/posts\/71\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/media\/68"}],"wp:attachment":[{"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=71"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=71"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=71"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}