Bonsoir à tous, et bonne nuit à ceux qui se couchent....

J'ai une petite question ....

Je me suis remis au ftp, plus particulierement à l'authentification et chiffrement grace à TLS.

Je trouve des difficultés à configurer NETFILTER pour autoriser les connexions FTP avec TLS....pourtant je connais bien netfilter, mais je lutte un peu.

En effet la premiere connexion s'effectue sur le port 21, l'échange du certificat est ensuite fait, et la on crypte l'envoi des commandes du mot de passe, ainsi que celle du choix des ports utilisés pour le transfert des données (le serveur utilise le port 20 en actif, sinon en passif ce sont des ports hauts supérieurs à 1024 ...), [...] puis vient la commande LIST....mais la rien n'est renvoyé au client .... gênant vous me direz ....

Petit problème, comment le firewall va savoir sur quels ports va etre effectué le transfert de données (que ce soit en actif ou passif ....) ??? Car le flux crypté ne sera pas compris par NETFILTER, et donc il ne pourra pas "autoriser" les connexions RELATED sur un autre port (puisque ce port est inconnu ......).

Après quelques recherches il semblerait que ce problème est insoluble, à moins d'ouvrir completement le firewall ....je dis bien completement = TOUS les ports.

Existe t il (enfin la question quand même :D ) un module spécifique à NETFILTER pour qu'il puisse s'assurer du filtrage FTP/TLS (genre patch pour le noyau à intégrer pour netfilter) ??

Sachez que les ports TLS pour le ftp sont 989 et 990 , mais rien n'y fait pour le filtrage, impossible de faire du firewalling avec ce type de chiffrement FTP ....


Quoiqu'il arrive le SFTP (fourni par openSSH, au passage on n' a pas besoin de serveur FTP si on fait du sftp ...) est la meilleure solution.... mais je reste sur ma faim -miam- , j'aimerai trouver un moyen de faire du FTP/TLS et du firewalling ....

Avis aux idées sur le sujet..... (peut être vous me rassurerez que ce n'est pas possible ...)

Merci :D

(Désolé pour le double post, j'ai buggé sur la touche entrée ... et j'ai pas eu le temps de finir en 10 minutes ce post ....je voulais etre clair...)

Luc L.