FTP derrière firewall SPI (Stateful Packet Inspection)

[igo]

Bonjour,

j'ai un problème de connexion à mon ftp (sme 7.3) qui ne relève pas de sme, mais de mon firewall matériel (dlink dgl4300) en amont de ma sme (serveur seul).

seulement la désactivation de la fonction SPI (Stateful Packet Inspection) au niveau du firewall permet un fonctionnement normal du ftp.

cette fonction étant intéressante au niveau sécurité, j'aimerai la conserver active.

Je me demandais donc s'il pouvait par chance y avoir un réglage particulier de proftpd qui me permettrais de ne pas me faire bloquer mes connexion data par mon firewall.

ma config est simple:

freebox(mode brige)---dgl4300(nat des ports 80 et 21 vers sme)---sme(serveur seul)

merci

[igo]

je n ai toujours pas résolu mon problème mais après une tonne de teste il advient que la config du serveur ftp ne peux pas adoucir le caractère d'un firewall mal luné :p.

Je suis en contact avec le support dlink c'est à eux de me sortir une solution.

voila, désolé pour le dérangement, et si mon topic inutile devait disparaitre, je n'en serai pas choqué.

Longue vie a ixus

[jibe]

Salut,

Je n'avais pas vu passer ton premier post

Pourquoi mettre ce routeur et SME en mode serveur seul ? Je ne sais pas ce qu'il vaut au niveau sécurité, mais sauf besoins particuliers, la SME est largement suffisante, et bien souvent meilleure que les routeurs matériels...

Comme tu ne spécifies aucun besoin particulier, j'aurais tendance à te conseiller de mettre ta SME en serveur-passerelle en remplacement de ton routeur... Mais bon, c'est à toi de voir

[igo]

salut,

je sais bien que les produits commerciaux sont souvent moins aboutis sauf si l'on y mets vraiment le prix, ce qui n est pas mon cas.

Je sais bien que la tendance est de préférer sme en passerelle mais ici la devise est à l'économie d'énergie alors ma sme dort la plupart du temps, je la réveille au besoin par wake on lan.

toujours est-il que dlink à été très mauvais sur le coups, une 10ene d'allez-retours de mail et aucune solution.

J'ai changé de routeur (netgear fvs114), et plus de problème.

---

pub :p > http://forums.ixus.fr/viewtopic.php?p=258406#258406

[jibe]

Salut,

Je pense que chacun fait comme il veut, que toute idée est respectable, mais qu'il n'est pas inutile de garder une certaine logique. Economies d'énergie ? Voilà une belle devise ! Mais as-tu fait le calcul ? Combien consomme ton ensemble (routeur 24h/24 + SME lorsque nécessaire) sur une année ? Quel écart par rapport à SME 24h/24 sans routeur ? Pas dit que l'écart soit très important. Et 10 aller-retour du routeur chez le constructeur, ça coûte aussi, et probablement plus que l'écart...

Donc, si l'idée peut être bonne au départ, encore faut-il analyser jusqu'au bout : économie réelle réalisée, compte tenu de l'augmentation du risque de panne (et je ne parle pas de la pollution de la voiture du technicien appelé en urgence pour remettre en route !) et des autres inconvénients à avoir un montage plus complexe, et aussi bien sûr des investissements supplémentaires...

[igo]

tu as de l'humour, mais oui l'ensemble est plus économique, et plus fonctionnel à mon goût.

ps : le jour ou ma sme tombera en panne (par une erreur humaine =) ) je disposerai toujours d'une connection sécurisé pour venir consulter ixus.fr :p

[jibe]

Salut,

tu as de l'humour, mais oui l'ensemble est plus économique, et plus fonctionnel à mon goût.

Non ! L'ensemble est plus à ton goût, certainement. Plus économique, j'en serais surpris mais admettons... pour l'aspect énergétique uniquement si la SME fonctionne peu (pour le reste, relis mon post : ce ne sont pas les 50€ que tu économiseras - peut-être - par an qui compenseront tout le reste !). Plus fonctionnel, non, certainement pas puisque tu ne sais pas le faire fonctionner !

On ne va pas refaire un troll. Je te renvoie au sujet dont je t'ai donné le lien plus haut, médites et lis ce qu'il y a derrière tous les liens.

Tu veux faire des choses qui ne sont pas classiques, pour lesquelles SME n'est pas vraiment faite. Aucun problème, ça te regarde et c'est ton droit. Mais c'est le mien de ne pas vouloir passer du temps sur un montage usine à gaz dont je ne vois aucune utilité !

Pour éviter qu'une fois encore ça tourne en troll, j'insiste sur le fait que je ne dis pas que c'est impossible ou forcément moins bon. Je dis qu'avec une SME, et en étant obligé de demander de l'aide sur un forum, ça ne peut pas fontionner de façon aussi fiable et sécurisée que la solution alternative que je propose et pour laquelle tu n'aurais probablement pas besoin d'aide extérieure.

ps : le jour ou ma sme tombera en panne (par une erreur humaine =) ) je disposerai toujours d'une connection sécurisé pour venir consulter ixus.fr :p

Et le jour où ton routeur tombe en panne, tu fais quoi ? Ajouter des appareils ne fait qu'augmenter le risque de panne. Sauf bien sûr en cas de redondance dans un montage haute sécurité, mais tu n'as pas dit que c'est cela que tu cherches à faire

[igo]

mais bien sure, tout le monde s'accorde à dire qu'un serveur est le pc le plus économique, avec une pléthore de disques durs, la ventilation qui convient, une alimentation souvent redondante un processeur performant et une bonne quantité de mémoire vive...

Si l'on part sur le principe que cette machine n'aura pour rôle 20h/24h que le simple partage d'une connexion internet, je trouve ça peu économique !

si pour toi usine à gaz signifie architecture réseau, continues d'utiliser sme... mais laisse les gents tranquille !

et au cas ou tu ne l'aurais pas encore bien compris je suis venu demander l'aide d ixus pour utiliser sme et configurer sme, pas pour un conseil réseau.
Car si tu me demande de changer le port d écoute d'un quelconque serveur proftpd, cela ne me prendra pas plus de 10s, mais voila ta précieuse distribution clé en main ne se laisse pas faire, à croire qu'elle est faite pour palier au erreurs de leur propriétaire, des gents se contentant d'un 'ça marche'

[jibe]

Salut,

http://forums.ixus.fr/viewtopic.php?t=27781&start=21