Serveur FTP (ou autre) derière MNF

[Vinzstyle]

Voilà, je voudrais savoir ce qu'est le mieux à faire. <BR> <BR>J'ai un serveur FTP derière ma MNF (disons sur 192.168.1.3) et je voudrais qu'on ne puisse s'y connecter d'Internet qu'en faisant une requête sur ftp.mondomaine.com . <BR> <BR>Pour cela, faut il que je forward le port 21 de ma MNF vers celui de 192.168.1.3 (qu'on appelera ftp.mondomaine.com). <BR>Ou bien, faut-il que je fasse une règle (dans le firewall) du genre : <BR>ACCEPT WANtoLAN 192.168.1.3:22 <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Et puis, dernière question, faut-il que j'édite le fichier /etc/hosts de ma MNF pour ajouter l'alias ftp.mondomaine.com à 192.168.1.3 <IMG SRC="images/smiles/icon_confused.gif">

[xjlxx]

Pour la deuxieme question je ne sais pas si ca suffit ! <BR>Il te faudrai peu etre un serveur dns ou wins sur ton réseau en plus de ton nom Dns déclaré sur le net ?!?!?! <BR> <BR>_________________ <BR>Powered by LINUX & WINDOW$ <BR><BR><BR><font size=-2></font>

[Vinzstyle]

Sinon, personne n'a une idée de ce qu'il serait préférable de faire ?

[Jacques-]

Personnellement, je renverrais le port 21 vers ta machine FTP plutôt qu'ouvrir tout vers cette machine. <BR>En fait, tu as le 20 et le 21 à forwarder probablement, ensuite normalement les ports ouverts pour la réponse devraient passer de ton serveur vers le Wan puisqu'ils font suite à une requête d'ouverture mémorisée. <BR> <BR>Dans le principe, ouvrir des ports inutiles est touojours une mauvaise solution. <BR>Si ton serveur FTP est attaqué par exemple, tu peux avoir un autre port ouvert à ton insu ensuite et qui serait alors accessible de l'extérieur; bien qu'en général si ton attaquant n'est pas trop bête il ouvrira de l'intérieur vers l'extérieur, mais ce n'est pas une raison non plus pour faciliter le travail des apprentis. <BR> <BR>Jacques

[Vinzstyle]

Nan, en fait, je ne sais pas très bien à quoi sert le forwarding de port. <BR>Donc je voudrais savoir s'il est préférable de faire un règle permettant de se connecter depuis le Net à mon serveur FTP qui est derière le firewall. Ou alors, d'en refuser l'accès à partir d'Internet mais d'ouvrir les ports FTP sur mon Firewall et de forwarder ces ports sur 192.168.1.3. <BR> <BR>Si c'est pas clair dite le moi <IMG SRC="images/smiles/icon_smile.gif">

[Jacques-]

Le renvoi de port te permet de faire correspondre ton IP publique à une IP privée dans ta DMZ. <BR>A moins de disposer d'une plage d'adresse IP publique, je ne vois pas trop comment tu pourrais faire pour envoyer que le flux FTP vers ton serveur. <BR> <BR>Pour moi, regarde un peu plus l'aide sur le renvoi de port sur la MNF (dispo en français sur le site de Mandrake, ou si tu fais comme moi tu aspires l'aide et tu la mets à dispo sur ton firewall en modifiant le lien de la page d'accueil (qui pointe sur la SNF). Je préfère avoir une aide locale quand j'ai des $%#&! de config, par sur que le Net soit encore en état dans ces moments-là. <BR> <BR>Jacques

[Vinzstyle]

J'ai un autre problème, dès que je redirige mes ports 20 et 21 sur 192.168.1.3 je ne peux plus me connecter à mon firewall ni au Web. TOUT EST BLOQUE !!! <IMG SRC="images/smiles/icon_help.gif">

[Jacques-]

Là, je ne sais pas trop. <BR>Vérifie dans la doc de shorewall ce que devrait donner ta règle, lis la dans le fichier de config dans /etc/shorewall si je ne m'abuse, et au besoin efface la dernière règle dans le fichier rules. <BR>Si tu redémarres le service shorewall à la main, tu devrais pouvoir te reconnecter, mais il faudra effacer quand même la règle dans l'interface MNF. <BR> <BR>Et si cela persiste, même en ajoutant la règle à la main pour voir, y'aura plus qu'un mail à Mandrake je crois. <BR> <BR>Jacques

[antolien]

A mon avis tu dois aller dans les exeptions et "Ajouter une règle étendue". <BR> <BR>ACCEPT <BR>service prédéfini ->ftp <BR>CLIENT : WAN -- <BR>SERVEUR : LAN -- <BR>RENVOIE: 192.168.1.3 <BR> <BR>voici la doc de MNF <BR> <!-- BBCode auto-link start --><a href="http://www.mandrakelinux.com/en/doc/90c/fr/MNF-User.pdf" target="_blank">http://www.mandrakelinux.com/en/doc/90c/fr/MNF-User.pdf</a><!-- BBCode auto-link end --> <BR> <BR>regardes dans le chapitre 6.5.2

[Vinzstyle]

J'ai déjà fait ça, mais ça ne marche pas. <BR> <BR>Cela me pause pas mal de problèmes en plus car pour les clients peer-to-peer je suis toujours en LowID (c'est un détail mais bon...). <BR> <BR>Je n'arrive pas à recevoir de connexions entrantes sur un serveur dans ma LAN. <BR> <BR>Quelqu'un qui a une MNF pourrait-il me dire comment il a fait ? <IMG SRC="images/smiles/icon_help.gif"> <IMG SRC="images/smiles/icon_cussing.gif">

[Vinzstyle]

Je vais TOUT résumé : <BR> <BR>imaginons le schéma suivant : <BR> <BR>INTERNET <BR> | <BR> | <BR> MNF (eth0 = 192.168.1.1 ; eth1 192.168.1.2) <BR> | <BR> | <BR> LAN ( 192.168.1.3) <BR> <BR>Les IPs son fictives, c'est juste pour l'exemple. <BR> <BR>Bon, je veux faire tourner un serveur FTP sur 192.168.1.3. <BR>Alors si qq1 peut me dire comment je dois m'y prendre avec la MNF..... je lui en serait reconnaissant <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">

[Tidg]

Essaie d'utiliser une règle DNAT au lieu de ACCEPT pour voir ce qui se passe : <BR> <BR>DNAT <BR>service prédéfini ->ftp et ftp_data <BR>CLIENT : WAN ip_interface_internet <BR>SERVEUR : LAN ip_serveur_ftp <BR>Adresse de renvoi (-,all,IP) : -- <BR>Traduction d'adresse réseau source (SNAT) : --