Configuration Sygate Personnal Firewall Pro et GuildFTPd - Page 1

j'ai un problème avec mon firwall, il est très bien (et beaucoup moins goinfre que ZAP) mais bloque guildftpd, je vois les gens arriver mais ça leur fait une erreur
je précise, c'est Sygate Personnal Firewall Pro 5.5 et GuildFTPd 0.999.13 (les versions les plus récentes quoi)
qd je coupe sygate, ça marche, donc ça vient pas de guildftpd, qui est d'ailleurs très simple à configurer
je lui ai pourtant dit de laisser passer guildftpd et qu'il pouvait faire serveur (j'ai précisé ftp), client, authorisé tt le temps
y aurait-il une astuce ou qqch que je n'aurait pas vu ?

Le truc, c'est que tes clients doivent utiliser le ftp en mode passif, et dans ce cas, c'est très lourd a configurer, puisqu'il va falloir autoriser en entrée beaucoup de ports (ouverts a l'initiative du client)...
Le plus simple serait de mettre ton ftp en mode actif, a ce moment la, les seuls ports utilisés seraient les ports 20 et 21, tous 2 ouverts a l'initiative du serveur ftp, donc ta regle de laisser passer guildftpd suffirait

Sauf que c'est pas au serveur de forcer le client à utiliser le mode actif ou passif. Si tu forces le mode actif, tous les clients derrière un routeur nat (et y'en a de plus en plus, avec le partage de connexion) ne pourront pas accéder au serveur.
Sauf à configurer le suivi des connexions ftp évidemment, mais ce serait mieux que tu le fasses de ton côté plutôt que d'obliger les utilisateurs à faire des manips sur leur système.

justement, guildftp est en actif de base, et les gens qui se connecte chez moi doivent mettre leur client ftp en actif (mais vu que c'est juste pour 2-3 copains, ça dérange pas)

pour ces 2-3 copains, tu peu arreter ton firewall je pense (et au pire passer provisoirement au firewall windows ... c'est mieux que rien)

bah suffit d'autoriser les 2-3 adresses ip concernées...

vince :
bah suffit d'autoriser les 2-3 adresses ip concernées...

Sauf que si c'est des IPs dynamiques, tu l'as ..... http://dtc.fr.st

Pour l'utiliser en passif, faut trouver un vraiment bon firewall qui sache faire du connexion tracking de ftp (sous windows connais pas, mais iptables fait ça très bien)

ouais mais bon si c'est comme pour moi à une certaine époque :

1)ICQ t'es là ? ouais... machin truc t'as le fichier bidule ? ouais
2) lancement serveur ftp
3)ICQ balance ton @ip
4)ICQ XXX.XXX.XXX.XXX k merci
5) ouverture du firewall pour XXX.XXX.XXX.XXX
6) transfert
7)ICQ c bon g tout reçu merci 2r1
8) fermeture du firewall pour XXX.XXX.XXX.XXX
9) arrêt de ftp serveur


à chaque fois je faisais comme ça, et peu importe si ip dyn ou pas... tant que t'es connecté ton ip change pas, tant que tu es connecté tu restes sur ICQ, si jamais t'as un souci, ICQ décroche et tu fermes le firewall de toute manière l'adresse sera pas réutilisée dans la seconde...

ba1-j'uyilise pas icq
2- des fois on peut venir fouiller chez moi sans me prévenir (pour venir chercher des trucs que j'ai partagé, ou pour m'envoyer un truc)...

je peux authoriser les ip de ceux qui ont le câble, mais pas pr les autres

En général quand t'as pas de conntrack, la solution adoptée est la suivante :
- dire au firewall de ne pas filtrer une plage de ports, par exemple 60000-61000
- dire au serveur ftp d'utiliser cette plage pour les connexions dynamiques

vais voir si ça roule