Sous debian, pour pouvoir utiliser correctement la fonction php ftp_nlist() avec un serveur distant derriere un firewall, il faut avoir le module ip_conntrack_ftp activé sous peine d'avoir une des erreurs ci dessous:

PHP Warning:  ftp_nlist() [function.ftp-nlist]: php_connect_nonb() failed: Connection timed out (110) in /test_ftp.php on line 58
PHP Warning:  ftp_nlist() [function.ftp-nlist]: php_connect_nonb() failed: No route to host (113) in /test_ftp.php on line 58 

modprobe ip_conntrack_ftp

En mode FTP Actif c'est le client FTP qui détermine le port de connexion à utiliser pour permettre le transfert des données. Ainsi, pour que l'échange des données puisse se faire, le serveur FTP initialisera la connexion de son port de données (port 20) vers le port spécifié par le client.

Le problème dans le cas de l'utilisation d'un firewall de type iptable (c'est à dire qui agit sur par rapport aux adresse IPs et ports) sur un serveur est qu'il faut spécifier les numéros de ports que l'on autorise ou refuse. Dans le cas présent, on ne connait pas le numéro des ports ouverts par le serveur car c'est le client qui le demande lors de la connexion.

C'est là qu'interviennent les modules ip_conntrack, ces modules s'occupent d'informer le système sur ces ouvertures de port.
Afin de pouvoir réaliser un firewall gérant ces protocoles, il faut charger les modules ip_conntrack :

• - ip_conntrack : permet d'autoriser les connexions en fonction de leurs états (NEW, ESTABLISHED, RELATED ...)
• - ip_conntrack_irc : permet de faire de l'irc grace au suivi de connexion
• - ip_conntrack_ftp : permet de faire du FTP dit "actif"