locked
FTP IIS7 - FTP Firewall Support (Data Channel Port Range qui ne se réinitialise pas) RRS feed

  • Discussion générale

  • Bonjour,

    je rencontre un problème curieux sur FTP.

    J'ai installé et paramétré un serveur FTP + SSL sur un serveur Windows 2008 (IIS7).Nous somme derrière un firewall et les clients accèdent depuis Internet.

     

    La partie SSL etc fonctionne très bien. Nous n'avons aucun problème. Nous pouvons même nous connecter au serevur FTP en SSL et transférer des fichiers.

    Mais depuis quelques jours, un de nos clients rencontre des problèmes de connexion.

    En poussant l'investigation à fond nous avons constaté ce qui suit :

    Étant donné que nous sommes derrière un firewall, nous avons paramétré le serveur FTP en mode PASV comme suit :

     

    - Dans le menu FTP Firewall Support, nous avons fixé un range de ports pour le mode PASV (49300-49999) ainsi que l'adresse IP de l'adresse publique de notre serveur FTP.

    - Cela fonctionne très bien, après l'initialisation de la connexion (port 21), les clients communiquent bien vers ces ports dynamiques (donnés par le serveur FTP lui-même / mode PASV).

    - A chaque fois que le client change de dossier ou transfère des fichiers, le port dynamique attribué (range 49300-49999) s'incrémente de N+1, ce qui est normal.

     

    Voici le problème

    1) Le client se connecte sans problème en mode PASV

    2) Lorsque le client désire changer de dossier ou transférer des fichiers, il quitte subitement le mode PASV et ça se bloque donc

     

    En analysant les connexions avec netstat, j'ai remarqué que le client essayait de communiquer sur un port qui dépassait le range 49300-49999, à cause du N+1 qui s'est incrémenté de beaucoup.

     

    Même en fermant le client FileZilla et en établissant une nouvelle connexion, le port reste en "mémoire". C'est à dire que le serveur semble garder quelque part le numéro de port qu'il avait communiqué au client. ca ne fonctionne donc pas.

    - Solution : Si on redémarre le service FTP (système), et que le client établit une nouvelle connexion, le serveur envoi au client un port en début de range 49300. Et là ça marche.

    - La question que je me pose : D'après-vous est-ce normal que ce range ne se réinitialise pas à chaque nouvelle connexion ? Faut-il vraiment mettre en place un restart hebdomadaire ou quotidien du service FTP ?

     

    J'espère que ma question n'est pas trop confuse, j'ai essayé d'expliquer notre problème.

    Si vous avez une idée je suis curieux :)

    @+

    Luis Esteves

    vendredi 1 juin 2012 15:20

Toutes les réponses

  • Bonsoir,

    il semble normal qu'il n'y ait pas réinitialisation...

    L'affectation des ports dynamiques fonctionne toujours sur ce principe... On avance jusqu'au dernier port possible avant de revenir au 1er.

    Il n'y a aucune raison de redémarrer le service (ou le serveur). En revanche, il faut probablement configurer ailleurs dans les registres l'étendue autorisée, non seulement pour FTP, mais aussi pour le système !

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (69 MCPs) http://base.faqexchange.info

    mardi 5 juin 2012 22:05
  • Bonsoir,

    Merci pour votre réponse.

    Ce qui est étonnant c'est que le range a déjà été fixé au niveau des paramètres du serveur FTP lui-même (d’après la procédure Microsoft). Et ça fonctionne très bien, la plage est respectée, sauf quand on arrive au bout de la plage, on ne revient pas au début. Et c'est justement là mon problème.

    Pour solutionner ce problème, je redémarre le service FTP quotidiennement. Cela réinitialise les clients FTP au début du range.

    Je vais quand même encore réaliser quelques tests. Car si ça se trouve, les tests que j'avais réalisés en premier avaient été faits après avoir fixé le range et sans avoir redémarré le service FTP au moins une fois....

    Luis Esteves

    mercredi 20 juin 2012 23:29