Pb serveur FTP filezilla a travers mnf

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Pb serveur FTP filezilla a travers mnf

Messagepar siraldir » 09 Mars 2006 13:29

Bonjour tout le monde

Voila je vous expose mon problème, si quelqu'un peut m'aider ca serait vraiment sympa car si ca continue je vais m'arracher les cheuveux

Je viens d'installer sur mon réseau local un serveur ftp avec filezilla serveur
je l'ai mis en passive mode avec les port 46025 à 46027 pour les data et j'ai mis le port d'entrée pour les données brutes 65220 (j'aime pas le 21)

j'ai fait des regles dans mnf qui sont les suivantes

ACCEPT wan lan:192.168.111.175 tcp 65220 - all
ACCEPT wan lan:192.168.111.175 tcp 46025 - all
ACCEPT wan lan:192.168.111.175 tcp 46026 - all
ACCEPT wan lan:192.168.111.175 tcp 46027 - all

celle ci pour moi m'ont l'air correct, mais il m'est impossible de me connecter a mon serveur en loopback ou même eb externe

si quelqu'un a une idée je l'en remercie d'avance
siraldir
Matelot
Matelot
 
Messages: 5
Inscrit le: 17 Août 2005 14:56

Messagepar Gandalf » 09 Mars 2006 14:03

Il ne fait pas faire d'ACCEPT mais un DNAT dans les règles, ça fonctionnera mieux :wink: !
ACCEPT = ouvrir un port sur le fw
DNAT = transfert de port du fw vers une IP !
Tu dois avoir
DNAT source:port ---> IP serveur FZ:port + le port n-1 pour les datas !

Si ça ne fonctionne toujours pas utilise les ports par défaut ( 21 +20 ) avant de te lancer dans une config "exotique" !

@ +
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar fabzz007 » 09 Mars 2006 17:18

Moi je dirais plutot :

Si tu est avec une mnf 8.2 :

ACCEPT wan lan:192.168.111.175 tcp 65220 all
ACCEPT wan lan:192.168.111.175 tcp 46025:46027 all
ACCEPT lan :192.168.111.175 tcp 65220
ACCEPT lan:192.168.111.175 tcp 46025:46027

Si tu dispose d'une mnf 2 tu peux utiliser le DNAT ;)

A tester mais je suis pas sûr de moi ;)

@+++
Avatar de l’utilisateur
fabzz007
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 339
Inscrit le: 13 Mai 2004 14:36
Localisation: Lyon

Messagepar Gandalf » 09 Mars 2006 17:21

Je ne voudrais pas te contredire Fabzz, mais j'ai un MNF avec un serveur FTP Filezilla derrière et je peux te dire que c'est bien un DNAT qu'il faut faire et pas un ACCEPT ! Il faut forwarder les ports du wan vers le lan, ce que ne fait pas la règle ACCEPT :wink: !

Tiens nous au courant !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar fabzz007 » 09 Mars 2006 17:27

moi sur ma mnf 8.2 dans la section création d'une regle simple il y a un exemple dans l'aide qui utilise le accept pour rediriger le flux ssh vers une machine du lan :!: Et pour l'avoir testé je peux dire que ça fonctionne alors qu'avec du dnat j'ai jamais réussi :(

Wait and see ;)
Avatar de l’utilisateur
fabzz007
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 339
Inscrit le: 13 Mai 2004 14:36
Localisation: Lyon

Messagepar Gandalf » 09 Mars 2006 18:15

Oui, parce que tu utilises des règles simples !

A la base les règles simples ne sont que des ACCEPT sur MNF, et ensuite tu peux renvoyer cette règle sur une IP dans une zone interne ( cocher la case Renvoyer )! C'est vrai que comme ça ça fonctione aussi, mais je préfère utiliser les règles étendues car elles proposent tout de suite l'action à entreprendre, ce qui me parait plus clair, et surout plus sécure !

Avec ACCEPT tu impliques réellement un port du firewall, et il transmet ( ou non ) la requête vers la machine indiquée ( comme pour ton ssh ! ) -> résultat : on y voit que du feu et ça ressemble à un DNAT; alors qu'avec DNAT il n'y a pas d'ouverture de port à proprement parlé sur le firewall, simplement une continuité vers la machine cible !

D'ailleurs je trouve dangereux d'utiliser ta technqiue pour rediriger des flux ssh vers une station en interne, car tu y impliques le firewall ! Essayes une règle étendue avec un DNAT c'est plus sécurisé quand même !

@ + tout le monde !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar fabzz007 » 10 Mars 2006 11:25

On es tout à fait d'accord en fait gandalf ;) Le DNAT est plus sécure. La seule chose que je disais ici c'est que d'un point de vue personnel je n'ai jamais réussi à faire fonctionner un dnat sur ma mnf 8.2 mais que j'ai pu m'en sortir avec un ACCEPT [...] -all

Dialogue de sourds :?: :lol: excuse moi de m'être mal exprimé ;)

@+++

En espérant qu'on aura pu aider notre ami siraldir ;) En tout cas je pense que son soucis principal est qu'il n'authorise pas son serveur ftp en sortie qu'en penses tu Gandalf ?
Avatar de l’utilisateur
fabzz007
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 339
Inscrit le: 13 Mai 2004 14:36
Localisation: Lyon

Messagepar Gandalf » 10 Mars 2006 14:25

Il n'y a pas de problèmes Fabzz, nous somme juste là pour discuter, partager et comprendre !

Pour en revenir à notre ami, je lui donnerais un conseil : tu n'aimes pas le port 21 ? Pourquoi ? Avant de définir des ports différents qui t'obligent à ouvrir 4 ports, pourquoi ne pas tester le FTP avec des ports standards, ce qui ne t'obligera à ouvrir que 2 ports ? C'est mieux non !

Donc si tu fais le test, tiens nous au courant de la suite !

PS : comme le dit Fabzz ces ports ne sont pas autorisés en sortie en standard ! A ouvrir donc !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar siraldir » 12 Mars 2006 23:29

Merci à tous pour vos différentes réponses

j'ai trouvé pk ca ne marchait pas, une raison très simple mon dns dynamique n'avait pas été mis à jour donc je tapait automatiquement sur mon ancienne adresse ip résultat ca ne fonctionnait pas.

vis à vis de la question de Gandalf, je n'utilise pas les ports standard pour des raisons de sécurités, en effet à cause de mes anciennes activités je sais que le port 21 est très souvents scanné donc je ne veux pas tenté le diable.


Voila je vous remercie à tous pour l'intégralité de vos réponses.
siraldir
Matelot
Matelot
 
Messages: 5
Inscrit le: 17 Août 2005 14:56


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité