FTP dans DMZ, probléme d'authentification...

[Lelapinblanc]

Bonjour,

Voila j'ai installé un serveur FTP dans la DMZ.
Je l'ai tout dabord configurer dans la GREEN. Pas de probléme tout marche les connexions se faisait nikel.
Mais depuis qu'il se trouve dans la DMZ, je ne peut plus m'authentifié, aucun mot de passe et login ne veut marché. Si je le repasse ds la Green tout marche.
Je ne comprend pas, je pense que cela vient de mes régles, mais je ne voie pas trop.
G bien redirigé mes port 20 et 21 vers ma DMZ, mais sa change pas grand chose...

Pour information c'est un serveur Proliant 1500, qui tourne sous NT 4 server.

Si quelqu'un pouvait me venir en aide, merci d'avance.

[Lelapinblanc]

Slt,
je me suis mal expliqué ou bien mon probléme na pas de solution, j'ai beau chercher sur google et dans les forums, je ne trouve pas de reponse.

Je vais reprendre :

Je posséde un IPcop1.4b2 sur un K6 128 Mo de RAm
Green => 10.32.0.X
Yellow => 10.32.1.X
Red => Connexion free 1024

J'ai un serveur Web et FTP dans ma DMZ, le serveur Web marche nickel, mais le FTp n'arrive pas à accepter les connexions FTP.
J'ai configurer mes routes pour que les ports 20 et 21 soit redirigé vers mon serveur sur ma DMZ.

Lorqu'il se trouve sur le Green mon serveur FTp accepte les connexions FTP, mais dés qu'il se retrouve sur la DMZ le FTP est trouvé mais pas de connexions possible.

Ce probléme posséde t'il une solution, ou bien est-ce moi qui ne n'arrive pas à voir quel que chose dévident?
Je vous remercie de toute ebauche de solution ou de solution total, y a t'il quel que chose à configurer dans le NT4?

Merci

[pkaer]

Salut,

Je pense que YELLOW c'est plutot ORANGE non ?

Tu ne précise pas tes mask de sous réseau. Cela peut avoir son importance.
Pourquoi ne pas avoir chois des réseaux bien distincts ? Ex: GREEN=10.0.0.0/8 et ORANGE=172.16.0.0/16

@+

PK

[jdh]

Comment est faite l'authentification FTP ?

Si ce serveur est sous NT4, il peut être dans un domaine ou un serveur "standalone" (=hors domaine).

S'il est dans un domaine, il doit demander l'authentification à un PDC (ou BDC) qu'il ne peut vraisemblablement pas trouver à partir de la DMZ : pas de règles suffisantes (Netbios=137 à 139, tcp et/ou udp).

S'il est standalone, l'authentification se fait en local (en général, il faut définir chaque utilisateur comme utilisateur du serveur). Il n'y a donc aucune raison que cela ne marche pas.

Donc, je pense que tu es dans le premier cas. D'où 2 solutions : ouvrir le trafic Netbios entre la DMZ et la zone Green (sans oublier de faire du WINS manuel avec le fichier "lmhosts"), ou se ramener au deuxième cas (nécessite de sortir le serveur du domaine et d'ajouter les utilisateurs.

Bien sur, il est sans doute possible de laisser le serveur dans la zone Green et de configurer l'accès depuis Internet mais la sécurité en patit (sérieusement).

Si l'accès est limité (en nombre d'utilisateurs), cela fera certes 2 comptes utilisateurs (un dans le domaine dans la green et un sur le serveur FTP en DMZ) avec 2 mots de passe. Mais cela est plus "secure".

[jdh]

J'ai oublié un dernier point.

FTP ne se résume pas à TCP port 21 et 20. Il y a 2 modes de fonctionnement : actif et passif. En "Actif", le serveur et le client peuvent changer de ports (donc pas toujours 20).

La gestion de cela repose alors sur un module de suivi de la connexion (natif sous Linux 2.4 + iptables = IPCOP 1.4 ?).