Bonjour à tous,
Voila, je possède 2 connexions Internet et je voudrais faire passer le trafic ftp que sur une des deux. J'ai cherché sur Internet et testé avec iptables mais ça ne marche pas.
Merci pour votre compréhension
Routé le trafic ftp sur une seule interface
Modérateur: modos Ixus
10 messages
• Page 1 sur 1
Routé le trafic ftp sur une seule interface
par Noxy » 02 Juin 2004 15:38
-
Noxy - Major
- Messages: 79
- Inscrit le: 20 Avr 2004 16:51
- Localisation: lyon
par ioguix » 02 Juin 2004 18:13
Salut,
Peux-tu envoyer la configuration iptables que tu as essayée ?
j'aurais aussi eu tendance à te conseiller IPTables afin de router les paquets IP à destination du port 21 sur la bonne interface...
++
Peux-tu envoyer la configuration iptables que tu as essayée ?
j'aurais aussi eu tendance à te conseiller IPTables afin de router les paquets IP à destination du port 21 sur la bonne interface...
++
-
ioguix - Premier-Maître
- Messages: 46
- Inscrit le: 22 Mars 2004 01:00
- Localisation: France
par Noxy » 03 Juin 2004 09:08
salut,
Tout d'abord, merci de t'intéresser à mon problème. Voila la commande que j'utilise :
iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 21 -j DNAT --to-destination 192.168.50.5:21
Je ne vois pas pourquoi ça ne marche pas car quand je tape cette commande, il n'y a pas d'erreur.
Merci pour ton aide
Tout d'abord, merci de t'intéresser à mon problème. Voila la commande que j'utilise :
iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 21 -j DNAT --to-destination 192.168.50.5:21
Je ne vois pas pourquoi ça ne marche pas car quand je tape cette commande, il n'y a pas d'erreur.
Merci pour ton aide
-
Noxy - Major
- Messages: 79
- Inscrit le: 20 Avr 2004 16:51
- Localisation: lyon
par ioguix » 03 Juin 2004 10:48
Salut,
Ta ligne IPTables me semble bonne, à la rigueur selon le man, c'est --dport et non -dport, mais à part ça je vois pas le problème (je ne suis pas non plus un expert iPTables
).
Mais, je crois comprendre avec ton dernier post, que ce que tu cherche à faire en fait, c'est diriger le flux en provenance d'internet sur ton serveur FTP interne, c'est bien ça ?
dans ce contexte, je ne comprend pas trop ton histoire de deux accès internet...Ton problème vient peut-être de ton architecture réseau, du routage ou autre...Bref, quelques explication à propos de ton réseau ne serait pas du luxe
++
Ta ligne IPTables me semble bonne, à la rigueur selon le man, c'est --dport et non -dport, mais à part ça je vois pas le problème (je ne suis pas non plus un expert iPTables
).
Mais, je crois comprendre avec ton dernier post, que ce que tu cherche à faire en fait, c'est diriger le flux en provenance d'internet sur ton serveur FTP interne, c'est bien ça ?
dans ce contexte, je ne comprend pas trop ton histoire de deux accès internet...Ton problème vient peut-être de ton architecture réseau, du routage ou autre...Bref, quelques explication à propos de ton réseau ne serait pas du luxe
++
-
ioguix - Premier-Maître
- Messages: 46
- Inscrit le: 22 Mars 2004 01:00
- Localisation: France
par Noxy » 03 Juin 2004 12:00
Je ne veux pas rediriger le trafic ftp sur mon ftp interne.
En fait, j'ai deux connexions Internet et je fais du load balancing. Mais cela pose problème quand je veux aller sur un serveur FTP car j'établis la connexion avec l'un des accès Internet et après lors du listage du répertoire ma machine utilise l'autre accès. Le serveur me renvoie alors l'erreur Bad Ip Connecting. Je voudrais donc utiliser une rèqle qui dise que tout le trafic ftp et ftp-data passe par un seul accès et pas par les deux.
Voilà j'espère que c'est plus clair.
Encore merci.
En fait, j'ai deux connexions Internet et je fais du load balancing. Mais cela pose problème quand je veux aller sur un serveur FTP car j'établis la connexion avec l'un des accès Internet et après lors du listage du répertoire ma machine utilise l'autre accès. Le serveur me renvoie alors l'erreur Bad Ip Connecting. Je voudrais donc utiliser une rèqle qui dise que tout le trafic ftp et ftp-data passe par un seul accès et pas par les deux.
Voilà j'espère que c'est plus clair.
Encore merci.
-
Noxy - Major
- Messages: 79
- Inscrit le: 20 Avr 2004 16:51
- Localisation: lyon
par ioguix » 03 Juin 2004 15:08
Salut,
Bon, donc ta règle se situe sur la machine responsable du load-balacing vers les 2 autres machines...c'est ça ?
La règle que nous avons vu est dans ce cas effectivement fausse et carrément hors sujet en fait...Cette règle modifie l'IP du serveur destinatire...
Bref, je suis de moins en moins sûr qu'IPTables est le bon outil pour ça en fait...Comment fais tu ton load-balancing ? Car c'est finalement au programe de load-balancing d'intégrer cette règle...
Bon, donc ta règle se situe sur la machine responsable du load-balacing vers les 2 autres machines...c'est ça ?
La règle que nous avons vu est dans ce cas effectivement fausse et carrément hors sujet en fait...Cette règle modifie l'IP du serveur destinatire...
Bref, je suis de moins en moins sûr qu'IPTables est le bon outil pour ça en fait...Comment fais tu ton load-balancing ? Car c'est finalement au programe de load-balancing d'intégrer cette règle...
-
ioguix - Premier-Maître
- Messages: 46
- Inscrit le: 22 Mars 2004 01:00
- Localisation: France
par Noxy » 04 Juin 2004 14:51
Vi c'est vrai tu as raison maintenant que tu me le dis!!!
Voila comment je fais le load balancing:
ip route add default scope global nexthop via IP1 dev IF1 weight 1 nexthop via IP2 dev IF2 weight 1
Voila.
Je pense alors qu'il faudrait utiliser ip route add et ip rule ... pour pouvoir faire le routage. Mais je sais pas faire alors un peu d'aide serait la bienvenue!!!
Merci encore
Voila comment je fais le load balancing:
ip route add default scope global nexthop via IP1 dev IF1 weight 1 nexthop via IP2 dev IF2 weight 1
Voila.
Je pense alors qu'il faudrait utiliser ip route add et ip rule ... pour pouvoir faire le routage. Mais je sais pas faire alors un peu d'aide serait la bienvenue!!!
Merci encore
-
Noxy - Major
- Messages: 79
- Inscrit le: 20 Avr 2004 16:51
- Localisation: lyon
par ioguix » 04 Juin 2004 15:18
Salut,
Tiens, je pense que ce lien peux t'être (et m'interresse aussi pas mal en fait) trés intérressant
http://www.freenix.fr/unix/linux/HOWTO/Advanced-routing-Howto-10.html
++
Tiens, je pense que ce lien peux t'être (et m'interresse aussi pas mal en fait) trés intérressant
http://www.freenix.fr/unix/linux/HOWTO/Advanced-routing-Howto-10.html
++
-
ioguix - Premier-Maître
- Messages: 46
- Inscrit le: 22 Mars 2004 01:00
- Localisation: France
par Noxy » 07 Juin 2004 14:31
Salut,
Tout d'abord merci pour le lien!
Malheureusement ça ne marche pas chez moi. Est-ce que chez toi ça fonctionne??? Voici mon script au cas où tu vois une erreur:
iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport ftp -j MARK --set-mark 1
iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport ftp-data -j MARK --set-mark 1
echo 201 ftp.out >> /etc/iproute2/rt_tables
ip rule add fwmark 1 table ftp.out
ip route add default via 212.41.140.200 dev ppp0 table ftp.out
Sinon j'ai lu qu'on pouvait utiliser ip_conntrack_ftp. Est-ce que quelqu'un sait s'en servir? J'ai pas pu testé mais apparemment ça marche :
modprobe ip_conntrack_ftp
#FTP the port 20(ftp-data) 21(ftp) openned for a Internal->External ftp client(internal)
iptables -A INPUT -p tcp -m tcp --sport ftp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
#active FTP
iptables -A INPUT -p tcp -m tcp --sport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport ftp-data -m state --state ESTABLISHED -j ACCEPT
#passive FTP
iptables -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
Merci de votre aide
Tout d'abord merci pour le lien!
Malheureusement ça ne marche pas chez moi. Est-ce que chez toi ça fonctionne??? Voici mon script au cas où tu vois une erreur:
iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport ftp -j MARK --set-mark 1
iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport ftp-data -j MARK --set-mark 1
echo 201 ftp.out >> /etc/iproute2/rt_tables
ip rule add fwmark 1 table ftp.out
ip route add default via 212.41.140.200 dev ppp0 table ftp.out
Sinon j'ai lu qu'on pouvait utiliser ip_conntrack_ftp. Est-ce que quelqu'un sait s'en servir? J'ai pas pu testé mais apparemment ça marche :
modprobe ip_conntrack_ftp
#FTP the port 20(ftp-data) 21(ftp) openned for a Internal->External ftp client(internal)
iptables -A INPUT -p tcp -m tcp --sport ftp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
#active FTP
iptables -A INPUT -p tcp -m tcp --sport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport ftp-data -m state --state ESTABLISHED -j ACCEPT
#passive FTP
iptables -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
Merci de votre aide
-
Noxy - Major
- Messages: 79
- Inscrit le: 20 Avr 2004 16:51
- Localisation: lyon
10 messages
• Page 1 sur 1
Retour vers Configuration matériel réseau
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité