probleme avec un server ftp en DMZ

[Kane]

Yop,

mon serveur ftp est une debian woody avec proftpd 1.2.10

voila ce que me fait smartftp au taf :

SmartFTP v1.1.984.17
Resolving host name my_dyndns_ip...
Connecting to (my_dyndns_ip) -> IP: 86.193.171.102 PORT: 50021
Connected to (my_dyndns_ip) -> Time = 109ms
Socket connected waiting for login sequence.
220 Server Ready
USER user
331 Password required for user.
PASS (hidden)
230 Bienvenue user chez moi....
SYST
215 UNIX Type: L8
FEAT
211-Features:
211-MDTM
211-REST STREAM
211-SIZE
211 End
TYPE I
200 Type set to I
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer
PWD
257 "/" is current directory.
PASV
227 Entering Passive Mode (192,168,2,10,234,97).
Opening data connection IP: 192.168.2.10 PORT: 60001.


et apres il me fait un timeout

Pourquoi il donne a mon client l'ip LAn de mon serveur ftp ? j'ai suivi ce post du forum proftpd
http://forums.proftpd.org/phpBB2/viewto ... light=list
en configurant MasqueradeAddress my_dyndns_ip dans un <virtualhost my_dyndns_ip>
et dynmasq...

au boot ou au lancement il me dit bien qu'il détecte mon ip publique

Je crois avoir lu que ca pourrait venir d'IPCop avec une histoire de modules IPTABLES (ip_conntrack_ftp et ip_nat_ftp) qu'il faut charger à coups de modprobe.

Quelqu'un a t il plus d'infos sur comment on fait ça ?

merci

[mstotor]

http://forums.fr.ixus.net/viewtopic.php ... sc&start=0
un vieux vieux post toujours d'actualité trouvé en 0.002 ms via recherche "ip_conntrack_ftp"

regarde la gestion du port DATA, car ta connexion est acceptée mais pas le mode DATA, port 20

[Kane]

vi je l'avais vu celui là, mais aps super clair pour le super noob que je suis, mais bon rien ne vaut un bon test

[Kane]

je comprends pas bien la ligne qu'il faut modifier dans rc.network :

modprobe ip_conntrack_ftp ports=21,1021

j'ai modifié en mettant mon port d'écoute ftp : modprobe ip_conntrack_ftp ports=21,50021

mais ca ne fonctionne pas (j'ai relancé IPCop bien sur)

il n'arrive toujurs pas à lister le contenu de mon dossier ftp

[mstotor]

question qui tue
quel droit a ton utilisateur de test sur le repertoire ?

[Kane]

tous les pouvoirs, ca marche en LAN (bonne tentative)

[mstotor]

arfffff raté

[Kane]

dois je rajouter un truc qui ressemble à ça dans rc.firewall ? (vu sur lea-linux)

iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

avec mes ports de data bien sur et aussi mon interface red...

Si oui, ou ?

[mstotor]

http://arnofear.free.fr/linux/IPTables.png
c'est ma petite reference quand je recherche une regle

[Kane]

ok merci, je regarde.

sinon j'ai trouvé ca mais ca a pas l'air de fonctionner (c'est meme pire lol)

http://webenic.enic.fr/wiki/PartageInternet

[mstotor]

# Redirige vers le serveur FTP de la DMZ.
iptables -t nat -A PREROUTING -d $IPNET -p tcp --dport ftp -j DNAT --to-destination $IPFTP:21
# On fait suivre les demandes FTP.
iptables -A FORWARD -i $IFNET -d $IPFTP -p tcp --destination-port ftp -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -s $IPFTP -o $IFNET -p tcp --source-port ftp -m state --state RELATED,ESTABLISHED -j ACCEPT
je ne suis pas le roi d'iptable, loin s'en faut, j'attendrai un roi du pot pour confirmer

[Kane]

merci d'essayer mais y'a quand meme bien quelqu'un qui l'a fait... il suffit qu'il passe

[Kane]

bon vu que je suis une grosse quiche en iptables (y'a 1 mois j'avais pas de linux faut dire ), j'ai essayé ça dans rc.firewall.local

#iptables -A INPUT -i eth2 -p tcp --sport 60000:60010 --dport 60000:60010 -m state --state ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth2 -p tcp --sport 60000:60010 --dport 60000:60010 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -t nat -A PREROUTING -d eth2 -p tcp --dport 60000:60010 -j DNAT --to-destination 192.168.2.10

mais ca a juste eu pour résultat de faire répondre l'ip red (qui n'est pas la publique) au client ftp.

Je vais donc mettre mon serveur ftp en pause pour l'instant, le temps de chercher, apprendre iptables ou d'avoir une réponse ici. Je bloque par manque de connaissances, et des tests quand on ne sait meme pas ce qu'on fait, ca n'apporte rien de bon

Alors si vous connaissez la réponse, l'avez deja fait, ou avez besoin de plus d'infos, il ne faut pas hésiter.

mstotor : je vais essayer de comprendre les règles que tu as mises avant des les adapter et de les tester. Merci de ton aide

[Kane]

tiens j'ai trouvé ça : http://www.linux-nantes.fr.eu.org/artic ... article=80

Code: Tout sélectionner

iptables -A BAD-LAN -p tcp --dport ftp -j ACCEPT

iptables -A BAD-LAN -p tcp --dport ftp-data -j ACCEPT

iptables -A BAD-LAN -p tcp --dport 60000:65500 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport ftp -j DNAT --to-destination ip_serveur_local

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport ftp-data -j DNAT --to-destination ip_serveur_local

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60000:65500 -j DNAT --to-destination ip_serveur_local


à adapter à mon cas bien sur.

vous en pensez quoi ? et surtout ou dois je rajouter ces lignes ? directement dans rc.firewall ou dans rc.firewall.local ?

[Kane]

si ca ne fonctionne pas ou diminue trop la sécurité, j'essaerais d'adapter ceci : http://olivieraj.free.fr/fr/linux/infor ... 03-08.html (voir section port forwarding pour un server http)

quelle est la meilleure méthode ?