"conflit"? ftps: internet->dmz vs green->dmz

[neodragon]

Salut,

Je viens de me heurter à un petit problème. J'ai installé un serveur Free-EOS en dmz, et j'ai configuré le serveur ftp de cette distrib en ftp sécurisé (entendre SSL) et accessible depuis l'extérieur du réseau.

J'ai fait pas mal de test pour que cela fonctionne et voila où j'en suis.

Connection ftps de green vers dmz : pas de problème, il suffit de configurer le client ftp en mode passif.

Connection ftps de internet vers dmz : pas de problème, il suffit de faire un transfert de port 21 dans ipcop et le rediriger vers l'ip de Free-EOS en dmz.

Mais où est-le problème alors

En fait, après avoir fait le transfert de port, lorsque je me connecte depuis le green, il y a bien une connexion d'effectuée mais elle bloque au moment du LIST (listage du répertoire). Et dès que je désactive le transfert de port 21 dans ipcop, cette connexion ne bloque plus.

Je suis perdu ... je comprends pas.

Si qlq avait des explications ... Ca m'éviterait de désactiver le transfert de port dès que qlq du réseau interne veut se connecter au ftp en dmz.

[neodragon]

...

Personne n'a d'idée sur le problème ??

[Vinzstyle]

Salut,

j'ai le même problème que toi, à savoir, j'ai un serveur FTP en DMZ qui n'est accessible que depuis le Net OU le LAN.

Ce que j'ai remarqué c'est qu'il ne retourne pas la bonne adresse IP (mode passif). Quand je m'y connecte depuis le LAN il retourne l'IP publique, du coup, bah ça bloque...

Pour l'instant le problème ne me dérange pas trop (j'ai pas trop besoin du FTP de l'interieur du réseau), mais j'aimerai trouver une solution.

C'est surement une histoire de NAT, ça ne devrait pas etre très dur à résoudre.

Je me renseigne en même temps

[Gesp]

quelle adresse tu utilises pour te connecter en interne?

Est-ce que c'est l'adresse de la machine orange ou l'adresse publique?
Ce devrait être le premier cas. Tu peux mettre l'adresse orange dans le hosts d'IPCop pour résoudre l'adresse suivant un nom similaire mais pas identique à l'adresse coté public. Comme cela, cela devrait fonctionner.

[Vinzstyle]

Pour ma part, lorsque je me connecte du LAN vers la DMZ j'utilise l'@ IP privé de la DMZ (192.168.x.y).

Seulement, l'addresse IP retourné par la commande PORT est l'@ IP publique. Alors, si la connexion vient du Net : pas de problème. Seulement, lorsque la connexion vient du LAN, la commande PORT retourne toujours la même IP (publique), et c'est là que ça bloque, du moins je pense.

[neodragon]

je passe aussi par l'ip privée.
Mais dans mon cas, lorsque je me connecte depuis le green, la commande PASV renvoie bien l'adresse ip interne du serveur en dmz, que j'ai, ou non, activé le transfert de port 21 ...
(la commande PORT ne donne rien chez moi)

[neodragon]

Je viens de refaire des tests et le problème ne se pose pas quand je passe par une connexion ftp classique (entendre non sécurisée).

Le problème du listage du répertoire ne se produit donc, pour mon cas, que lors d'une connexion sftp.

La solution n'est pas encore là mais le problème se resserre

[Vinzstyle]

On ne doit pas avoir le problème dans ce cas

Parce que moi, je suis sûr que le problème vient du fait qu'il renvoit l'IP publique, car je le force à renvoyer cette IP pour qu'il soit accessible au moins du Net.

Je dois avoir un problème de NAT sur ma passerelle...

Je ferais des tests demain, j'ai quelques idées, mais le temps me manque...