Install FTp sur DMZ presque fini mais ptit pb!!!

[le ptit nouvo]

Bonjour,

Après avoir cherché un peu parout et particulièrement sur le forum je n'arrive pas à trouver la solution.
Tout le monde raconte des choses différentes donc qjui croire?
J'a installé ipcop V1.4 et je fonctionne en RED ORANGE GREEN.
J'ai installé un serveur FTP evec vsftpd sur la DMZ. J'arrive à me connecter depuis le GREEN et certains utilsateurs y arrivent depuis internet, mais pas tous, cela doit etre le fait qu'il fonctionne en mode actif.

Pour faire cela, sur IPCOP j'ai fais ceci via l'interface graphique:

Dans transfert de ports:

TCP DEFAULT IP : 20(FTP-DATA) 192.168.2.2 : 20(FTP-DATA) Service FTP
TCP DEFAULT IP : 21(FTP) 192.168.2.2 : 21(FTP) Service FTP
UDP DEFAULT IP : 21(FTP) 192.168.2.2 : 21(FTP)
UDP DEFAULT IP : 20(FTP-DATA) 192.168.2.2 : 20(FTP-DATA)

192.168.2.2 est l'ip de mon serveur FTP

Dans accès externes:

TCP TOUT DEFAULT IP 20
TCP TOUT DEFAULT IP 21
UDP TOUT DEFAULT IP 20
UDP TOUT DEFAULT IP 21

Je ne sais pas si le protocole UDP est besoin d'etre présent mais bon .

Pour le faire marché en passif, il faut que j'ouvre une une plage de port mais sur ipcop la manip ne veut pas marcher:

ex 2000:2100 ne fonctionne pas et je ne vois pas comment le faire avec l'éditeur VI.

Si il fonctionne en passif dois-je laisser les 2 autres ports obligatoirement (20 et 21 ou un seul?)
Le mieux est de le faire travailler dans les deux modes?

De plus je doit dire a mon FTP vsFTPD de lui dire de fonctionner en passif donc:

pasv_enable = yes
pasv_min = 2000
pasv_max = 2100.

Le probléme, c'est lorsque je fais ceci et que je redémarre le FTP il m'indique:
vsftpd est mort mais subsys est vérouillé.
Le testparm me dit que tout est bien!
Je travail sur une redhat V9

Merci à tous de votre aide

[guiguid]

Salut,

bien dans un premier temps, ceci est inutile dans tous les cas :

Dans transfert de ports:
UDP DEFAULT IP : 21(FTP) 192.168.2.2 : 21(FTP)
UDP DEFAULT IP : 20(FTP-DATA) 192.168.2.2 : 20(FTP-DATA)

Dans accès externes:
TCP TOUT DEFAULT IP 20
TCP TOUT DEFAULT IP 21
UDP TOUT DEFAULT IP 20
UDP TOUT DEFAULT IP 21

ensuite pour:

ex 2000:2100 ne fonctionne pas et je ne vois pas comment le faire avec l'éditeur VI.

il faut mettre 2000-2100
(le tiret "-" pas les 2 points)

Et dans tous les cas ce n'est pas avec VI mais par l'interface graphique dans transfert de ports.

a+

[le ptit nouvo]

Salut,

J'ai fais ce que tu m'as conseillé, mais je ne comprends pas que les accès externes que j'ai déclaré, servent à rien.Comment est-il possible de pénétrer dans le RED sachant que par défaut tout les port entrants sont bloqués.Merci pour le ptit (-) pour la plage de ports. Dailleurs si je suis le raisonement il faut elle aussi la mettre juste dans le transfert de port.

Merci

[tomtom]

Salut !

1- Ouvrir les ports dans "acces externes" revient à ajouter des règles dans la chaine INPUT qui n'est utilisée que pour le firewall lui même (cf doc iptables). Faire un transfert de ports revient à ajouter une règle de prerouting pour chanegr la destination du paquet ET à ajouter l'autorisation dans la table FORWARD.
VOila pourquoi l'ouverture n'est pas nécesaire.

2- iptables est un firewall statefull.
Même en mode passif, les conntracks devraient peremttre l'etablissement d'une connexion sans ouvrir de plage de ports.
Ouvrir une plage revient à travailler comme au temps d'ipchains et du stateless !

t.

[le ptit nouvo]

ok merci. Donc avec juste ce que j'ai fait le serveur FTP peut tourner en passif comme en actif, après cela dépend du client qui se connect.Mais alors pourquoi certains utilisateurs ne peuvent accèder au FTP.
Une mauvaise confi de leurs postes?

Merci de votre aide, c'est vraiement cool pour un ptit nouvo comme moi

[Gandalf]

Regardes avec quoi ils se connectent ! Si c'est avec IE méfiance, fais leur utiliser un client style FileZilla qui permet de déterminer le style de connexion en actif ou passif, car si ce que dit Tom-Tom est vrai pour IPCOP ça dépend aussi d'où tu te connectes, et que si la dite machine est derrière un autre firewall non IPCOP il va falloir utiliser le mode passif ( c'et pas une règle générale mais c'est souvent le cas ! ).

@+

[le ptit nouvo]

Ok.Merci

Si j'ai bien compris pour le mode passif, j'ai juste a ouvir une plage de ports dans le transfert de port et voila non?

Merci

[Gandalf]

Euh ben surtout pas ! Comme te le dit Tom IPCOP est un firewall dit Statefull, donc il analyse les états des connexions, don tu as juste à forwarder le port 21 sur ton FTP et roule ! La réponse du client se fera sur un autre port aléatoire mais comme IPCOP est statefull il ouvrira "dynamiquement" le bon port au bon moment !
Donc tu n'as qu'une seule règle à mettre : Forward default IP:21 ----> IP_srv_FTP:21 !

[le ptit nouvo]

ok impek merci pr tout

[le ptit nouvo]

Encore 1 ptit truk:

Pourquoi certains arrivent a se connecter et d'autres pas tout cela en utilisant le meme navigateur?
(travail en passif?)

[Gandalf]

Je ne peux pas te répondre de façon précise : quel naviagateur et quelle version utilisent-ils, sous quel environnement ... sont autant de sources possibles de problèmes de connexions, c'est pour ça que dans le cas d'une connexion FTP je pars toujours sur la base d'un duo client/serveur FileZilla ! Le serveur est très bien fait, la sécurité y est facile à gérer, et les clients sont nickels, on peut bien leur préciser quel mode de connexion utilser etc ... comme ça j'élimine toutes ces sources potentielles de problèmes ! Voilà c'est le seul indice que je peux te donner, mais peut-être que d'autres pourront mieux t'éclairer que moi !

[le ptit nouvo]

Merci. En fait ce que je voudrais c'est que tous les utilsateurs puissent se connecter a mon FTP qq soit leur config bonnes ou mauvaise d'ou l'utilité de le faire fonctionner en passif.
De ma fac j'arrive ss pb a me connecté via IE et mes potes y arrivent via mozilla mais pas IE.
Merci des tuyaux

[Gandalf]

De ma fac j'arrive ss pb a me connecté via IE et mes potes y arrivent via mozilla mais pas IE.
Merci des tuyaux

... comme ça on est sûr que ça vient du paramétrage ou de la version d'IE, et là je ne peux plus t'aider, essayes sur le forum d'iXus "Logiciels Microsoft" !

@+

[le ptit nouvo]

Salut!

La avec ma config, cad juste le débloquage des ports 20 et 21 en transfert de ports, le FTP peut travailler en passif et actif si je définis a mon FTP une plage de ports (et pas sur ipcop)?

Merci de vos réponses.

[Gandalf]

Va voir là : http://christian.caleca.free.fr/ftp/ , c'est une des bibles du réseau !