Informatique

bonjour, le FTP fonctionne normalement via internet, puis j'ai suivi ce tuto pour passer en FTPS https://jbelien.be/memo/linux/2015/08/16/installation-proftpd-ftps.html , mais lorsque je tente de me connecter via le navigateur, ou via winSCP, le resultat est le meme, ça ne passe pas...
voila les logs sur le serv

puis depuis winSCP

Dans le certificat auto signé j'ai bien mis mon adresse ip publique, et non un nom de domaine, ça marche quand meme?

Ça ressemble à un problème de version du protocole TLS.

Poste ta conf proftpd dans un pastebin, en prenant soin d'enlever les IPs et autres trucs perso.

j'ai quasiment rien modifié dans les fichiers de conf, pas plus que dans le tuto

fichier proftpd.conf : https://pastebin.com/ej9RasAH

fichier tls.conf : https://pastebin.com/3xgPsy40

Essaie

TLSProtocol TLSv1

TLS 1.0 c'est déjà assez has been et risqué comme ça, alors SSLv3 j'en parle même pas. C'est quoi ce vieux soft... regarde si pure-ftpd supporte TLS1.2, si c'est le cas, pars là-dessus tu te feras moins chier (et ce sera moins risqué)

je viens de remplacer TLSProtocol SSLv23

par TLSProtocol TLSv1.2

et la ça passe, enfin presque maintenant j'ai ça comme message

log sur le serv

il y a bien uniquement le port 21 qui est utilisé non?

T'essaies de te connecter depuis "l'extérieur" (Internet?), et ton serveur est derrière un routeur qui fait du NAT, je présume ?
Ou tu fais tout en LAN ?

Le 13 juin 2020 à 23:15:20 Google_Bot a écrit :
T'essaies de te connecter depuis "l'extérieur" (Internet?), et ton serveur est derrière un routeur qui fait du NAT, je présume ?
Ou tu fais tout en LAN ?

oui c'est depuis l'exterieur, le nat transfère un port au dessus de 30000 vers le port 21 du serveur FTP. Je precise que sans chiffrement, ça passe sans probleme

Faudrait que je replonge un peu dans FTPS (différent de SFTP) mais je me demande s'il n'y a pas besoin de plusieurs ports justement...
Bon, si j'ai la foi je tente une maquette en machines virtuelles pour voir ton truc.

ah en local par contre ça passe avec le chiffrement

Bah ouvre une session en local et observe les sockets TCP ouverts avec ss -tanlp côté serveur, quitte à grepper sur l'IP de ton client.

je vois qu'il ecoute sur le port 21, mais aussi sur le 41413

Non, le 41413 c'est un port côté client.
Je suis étonné à la lecture de ton tableau par contre, d'une part on dirait plutôt le côté client, d'autre part on devrait voir le numéro de port d'écoute du serveur à l'autre bout du socket justement. A moins que ce ne soit une entourloupe à la inetd ou je ne sais quoi...

j'ai continué mes test et j'ai reussi a le faire fonctionner en decochant l'option

# PassivePorts 49152 65534

j'ai réduit la plage a 10 ports seulements, et j'ai ouvert ces 10 ports sur le NAT. Donc d'apres ce que j'ai compris le port 21 sert pour l’échange des clés, et les ports passifs pour les données? mais pas sur du tout, c'est pas tres clair :p