Installation/Configuration d’un serveur FTP avec VSFTPD

Linux

Installation et configuration d’un serveur ftp avec VSFTPD

Etape 1 : Installation de vsftpd

[sh]apt-get install vsftpd[/sh]

Etape 2 : Configuration du fichier /etc/vsftpd.conf

[sh]listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
idle_session_timeout=600
data_connection_timeout=120
connect_timeout=60
accept_timeout=60
nopriv_user=Ophydeftp
async_abor_enable=NO
ascii_upload_enable=NO
ascii_download_enable=NO
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem[/sh]

Etape 3 : Installation du module ip_conntrack_ftp

[sh]modprobe ip_conntrack_ftp[/sh]

A quoi peut donc servir ce module ?

activeftp
Source : http://slacksite.com/other/ftp.html

(Step 1) En mode passif le client va ouvrir un port aléatoire en local (1026) et envoyer une requête au serveur ftp sur le port 21 (requête de connexion).
(Step 2) Le serveur répond sur le port local de machine client (1026) .
Le client demande au serveur de choisir un port aléatoire sur lequel le client se mettra à l’écoute en attente de la connexion de données.
(Step 3) Le client ouvre un nouveau port en local (1027) et contact le port aléatoire fournie par le serveur ftp (2024).

C’est là que notre module intervient, le module va permettre un suivi de connexion vers le nouveau port 2024 en analysant la trame de donnée.
Sans ce module, l’authentification sur le ftp fonctionnerais mais vous vous rendrez rapidement compte qu’aucun dossier ne s’affiche, en effet le firewall rejettera la connexion de données sur le port aléatoire défini dans notre cas le 2024. (sauf si bien sur votre firewall est ouvert …)

Etape 4 : Configuration Iptables :

Les règles d’état RELATED,ESTABLISHED permettent de ne pas casser les connexions déjà établies ou dans notre cas en relations ..
La dernière ouvre en entrée le port 21 lors de la demande de connexion sur le ftp.

[sh]# Ne pas casser les connexions etablies
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state –state NEW -i eth0 -p tcp –dport 21 –syn -j ACCEPT[/sh]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.