Proxypass et ftp ???

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Proxypass et ftp ???

Messagepar achel » 29 Nov 2008 00:11

Bonjour, voici un petit cas pratique sur lequel je me pose des questions (ça a fonctionné et ça ne fonctionne plus et je ne sais pas pourquoi).

J'ai proxypassé le port 21 d'un de mes nas avec le code suivant :

Code: Tout sélectionner
<VirtualHost 0.0.0.0:21>
    ServerName domaine.org
    ServerAlias nas2.domaine.org

    RewriteEngine on
    RewriteCond %REQUEST_METHOD ^(TRACE|TRACK)
    RewriteRule .* - [F]

    ProxyPass / ftp://10.0.0.16/
    ProxyPassReverse / ftp://10.0.0.16/
</VirtualHost>


Les NAS qui sont sur le réseau possèdent aussi des interface web (qui passent sans problème avec le proxypass sur le port 80). Il y'a un Lacie et un Buffalo.

Ca a tourné pendant un mois et puis plus rien (la cause je la connais => j ai un furet qui aime passer dans mes cables ethernet, ce qui a débranché une prise d'un des nas ... mais ce que j arrive pas à comprendre c'est pourquoi en rebranchant ma prise le proxy ne fonctionne plus ...).

Merci beaucoup
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar bethebeast » 29 Nov 2008 00:26

heu...soit ce post n'a rien à voir avec SME, soit c'est moi qui a encore (trop) abusé de la moquette...:?

@+
bethebeast
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 283
Inscrit le: 27 Avr 2008 20:18

Messagepar achel » 29 Nov 2008 00:29

Bon, je vais directement mettre mon plan réseau ce sera plus clair je pense =>

Image


J'ai deux nas derrière ma sme et je veux juste savoir y accéder en ftp via un DQNS configuré dans la gestion des hôtes de sme (en gros, un proxypass sur le port 21) => ca a fonctionné et ca ne fonctionne plus ... je tombe sur le ftp de la sme qui est en front et non sur ceux des nas.

Je précise que je sais que je pourrais forwarder des ports différents sur la sme en front pour les envoyer vers les ports 21 de chaque nas ... mais le proxy pass a fonctionné et je trouvais ça assez élégant.
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar sibsib » 29 Nov 2008 11:39

Hello,

Le proxyPass s'appuie entièrement sur le protocole http. C'est une certitude, pas une affirmation 'en l'air' puisque proxypass analyse la requête http pour faire les redirections. Je ne comprends pas trop comment tu pourrais faire du ftp dedans.

Par contre (çà me parait audacieux), si tu te connectes au serveur web de ton SME (donc sur le port 80 ou 443), il se pourrait que proxypass puisse renvoyer vers le port 21 de tes NAS... mais çà ne servira à rien, puisque c'est toujours du protocole http qui va arriver sur le port 21 de tes NAS.

Donc, je pense que tu te fourvoies, et que tu penses que çà marchait grâce à tes règles de proxypass, alors que ce n'était pas çà.

Notamment, je vois sur ton schéma un VPN, et depuis le VPN, tu devrais pouvoir atteindre tous les serveurs FTP de ton LAN sans autre forme de procès. Par contre, Gaston nous a indiqué que le VPN pourrait avoir des soucis en 7.4 (là, je m'aventure sur un terrain que je ne connais pas).

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar achel » 29 Nov 2008 17:57

Ok merci sibsib, en gros je suis bon pour un port forwarding ... :( . Bon vais checker une liste de port pas trop incongru pour les faire. (pourtant je suis certain d avoir pu joindre mon ftp de cette manière ... sans vpn et avant être passé à la 7.4 faudra que je creuse d'où est venue cette anomalie).

Encore un grand merci je reconfigure vite ça.
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar achel » 29 Nov 2008 18:24

Là je me retrouve devant quelque chose que je ne connaissais pas :p => je forward les ports 8021 et 8022 vers les ports 21 respectif à chaque Nas et avec winscp je me retrouve avec un belle erreur :

Code: Tout sélectionner
Error listing directory '/'.

Could not retrieve directory listing
Illegal PORT Command


Si je tente un reconnect j'ai droit à cette erreur :

Code: Tout sélectionner
Transfer channel can't be opened. Reason: Aucune connexion n'a pu être établie car l'ordinateur cible l'a expressément refusée.
Could not retrieve directory listing
Entering Passive Mode (192,168,1,70,183,52)


Il n'y a aucune manière de changer le port ftp sur les deux nas (Lacie et Buffalo) et ce, même en mode passif ... y'aurait il des ports spécifiques pour le forward de ftp ???
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar sibsib » 29 Nov 2008 21:27

yop,

En fait, le ftp est une vraie galère à faire passer :
Déjà, tu as au minimum deux ports : ftp-command (port 21) et ftp-data (port 20). Je crois (mais je dis peut-être une énormité) qu'en mode passif, c'est suffisant.
En mode actif, il y a négotiation dynamique du port pour le transfert des données et également du sens de connexion (enfin, le sens de connexion n'est pas dynamique mais dépend du type de transfert qu'on veut faire. Je ne connais plus la règle, mais dans certains cas, le client FTP devient serveur pour la session TCP de transfert de fichiers.)

Pour que ceci fonctionne via le firewall de SME, il y a un module kernel qui s'appelle ftp_contrack (pas dur à traduire : traceur de connexion ftp) qui permet à iptables de créer dynamiquement les règles de redirections adéquates pendant la durée du trransfert.

Là, çà y est, j'ai étalé toute ma science. Est-il possible d'utiliser aussi ftp _contrack pour tracer des sessions ftp entrantes ? Je suis quasi sûr que oui, mais pas la moindre idée de comment on fait.

Peut-être si tu peux utiliser du ftp passif que la redirection du port 20 va suffire à te sauver ?

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar achel » 29 Nov 2008 21:31

je vais déjà essayer de voir si du point de vue ftp (à mon avis c'est ce port 20 de transfert qui met le souk) je peux aussi reforwarder ce port (et surtout qu'il le comprenne ... pcq le port 20, à voir, il effectue la connexion de manière implicite).

Si ça ne fonctionne pas je vais chercher après ftp_contrack (à moins qu'il ne se trouve dans un tuto sur les ftp sur contribs).

En tout cas merci, je poste mes résultats dans ce post en espérant arriver à un dénouement fonctionnel.
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar achel » 30 Nov 2008 03:01

Après moultes recherches j'ai rien trouvé qui puisse me permette de pouvoir joindre mes ftp (NAS) au travers de la sme ...

Si quelqu'un possède une marche à suivre, une modification d'iptable ou autre ce serait le bienvenu ... je pense que je dois pas être le seul à avoir besoin de faire ça ...
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar achel » 30 Nov 2008 21:48

Je réitère => si quelqu'un connait une manière de donner accès à des ftp se trouvant de le réseau, depuis internet, sans bloquer le ftp de la sme en server et passerelle : je suis preneur.
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01

Messagepar durandbenoit » 28 Juil 2010 16:58

achel as tu réussi à te servir du FTP externe en passant par le sme ?
durandbenoit
Matelot
Matelot
 
Messages: 1
Inscrit le: 28 Juil 2010 16:20

Messagepar achel » 28 Juil 2010 17:08

Oui : j'ai abandonné sme-server pour Blueonyx (bien mieux conçu à mon sens et orienté plus vers les hébergeurs qui en ont marre de mettre les mains dans le cambuis et qui veulent pas une usine à gaz).

=> au passage fo plusieurs ip pour faire ce que tu veux : vo mieux un bon routeur zyxel ou snapgear pour faire du 1to1 nat.
achel
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 327
Inscrit le: 13 Jan 2008 19:01


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron