Problème sur réseau orange (FTP)

par **neo_hijacker** » 18 Oct 2003 17:38

Bonjour Je sais que ce genre de question a déja été posé mais je n'ai pas trouvé mon bonheur dans les solutions proposées. (donc pas de RTFM <IMG SRC="images/smiles/icon_biggrin.gif"> ) Voici ma config IPCOP : <IMG SRC="http://jerome.michaux.free.fr/forums/ixus/ipcop2.jpg" BORDER="0"> Je détaille si l'image est pas clair : Le GREEN : Carte ISA HP LAN ethernet RJ45 (192.168.100.254 ; pas de DHCP) Le ORANGE : Carte ISA 3Com Etherlink III BNC (192.168.200.254) Le RED : Modem Sagem Fast 800 USB (Free ADSL IP Fixe 81.56.2xx.xxx) La machine IPCOP 1.3.1a5 possede la config suivante : Filtrage de contenu DansGuardian ==> En fonction Réseau Privé Virtuel (RPV) ==> Arrêté Serveur DHCP ==> Arrêté Serveur DNS mandataire (proxy DNS) ==> En fonction Serveur d'accès à distance sécurisé (SSH) ==> En fonction Serveur mandataire (proxy web) ==> En fonction Système de Détection des Intrusions (pour les 3 cartes) ==> Arrêté Le port 21 est routé vers 192.168.200.1 Ping 192.168.100.254 GREEN vers IPCOP ==> OK Ping 192.168.100.1 IPCOP vers GREEN ==> OK Ping 192.168.200.254 ORANGE vers IPCOP ==> OK Ping 192.168.200.1 IPCOP vers ORANGE ==> OK Ping 81.56.2xx.xxx RED vers IPCOP ==> OK Ping <a href="http://www.ixus.net" target="_blank">www.ixus.net</a> IPCOP vers RED ==> OK Acces FTP a partir de la GREEN ==> FAILED Acces FTP a partir de la RED ==> FAILED Je ne vois vraiment pas où est le problème

par **gla** » 18 Oct 2003 17:47

Ton dessin est clair et tres sympa ! Le FTP est routé en provenance de quelle(s) interface(s) ? Peux tu nous filer la table de routage ?

par **antolien** » 18 Oct 2003 17:54

Je suis d'accord, le shéma est super clair et sympa <IMG SRC="images/smiles/icon_smile.gif"> Les clients sont-ils en passif ? Si non, il faudrait les passer en passif, ou alors ajouter le port 20 dans DMZ pinholes où plus clairement ajouter le port 20 en accès du orange vers le green. le ftp est un protocole que je fini par détester <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_boxe2.gif">

par **neo_hijacker** » 18 Oct 2003 17:56

Merci pour le compliment du dessin <IMG SRC="images/smiles/icon_wink.gif"> PAINT POWERED <IMG SRC="images/smiles/icon_biggrin.gif"> Voici ma table de routage : <IMG SRC="http://jerome.michaux.free.fr/forums/ixus/routage.jpg" BORDER="0"> EDIT : c'est pas une table de routage

par **neo_hijacker** » 18 Oct 2003 18:00

PS : Je précise que, malgré le routage, je n'ai pas de Webserver (pas encore installé) En fait ma config test est un PC Pentium 75mhz w/16mo sous Windows 95 (ca existe encore ca ? <IMG SRC="images/smiles/icon_biggrin.gif">) Apres, quand mon oncle me l'aura rendu, le serveur sera un P166MMX w/ 64mo Aussi je précise qu'en reliant le PC Serveur FTP sur le green, je peux y accéder sans problème et rapidement a partir d'un autre PC GREEN

par **gla** » 18 Oct 2003 18:02

ça c'est pas la table de routage, c'est les transferts de port (PAT), mais c'est pas grave ! Peux tu atteindre ton serveur Web depuis le green (pas en ping, depuis un browser) ?

par hb » 18 Oct 2003 18:02

j'approuve antolien, tout ceci c'est l'acces RED vers Green, t'as oublié DMZ PinHole

par **gla** » 18 Oct 2003 18:03

Damned, j'ai été grillé par un feu d'ENFER <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif">

par **neo_hijacker** » 18 Oct 2003 18:04

Arf g oublié de préciser que le ping suivant ne marche pas : Ping 192.168.200.1 GREEN ==> Orange

par **gla** » 18 Oct 2003 18:07

Là, c'est clair que si le ping passe pas vers la machine en DMZ, tu dois déjà résoudre ce problème. Est-ce que tu n'as pas un problème avec les câbles, ou les cartes ? As tu tenté de les inverser ?

par **neo_hijacker** » 18 Oct 2003 18:08

G rajouté le port 20 dans la PAT Par contre va falloir me dire comment je fais pour voir la fameuse table de routage La je vais tenter de mettre apache et une page web test

par **antolien** » 18 Oct 2003 18:08

Désolé ce n'est pas une table de routage ça lol: Une table de routage c'est le résultat d'un 'route' sur ton ipcop. Bref, ajoutes le port 20 pour le ftp-data(car le 21 n'est qu'un port de contrôle), où alors passes les clients en passif et ça marche très bien à ma connaissance (bannir IE pour explorer le ftp..) Mode actif = Le client se connecte sur le 21 et s'authentifie, lance les commandes de contrôle. Ensuite le serveur initie la connexion sur le client par le port 20 pour transférer les data. Mode passif = Le client se connecte sur le 21 et s'authentifie, lance les commandes de contrôle (idem) Ensuite le client établie une connexion sur un port > 1024 (aléatoire ) pour transférer les data. C'est pourquoi sous iptables ça pose problème de l'exterieur si le serveur en dmz ne peut pas envoyer les data par le port 20, ni reçevoir des connexions pour un port > à 1024...

par **neo_hijacker** » 18 Oct 2003 18:10

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-18 18:07, gla a écrit: Là, c'est clair que si le ping passe pas vers la machine en DMZ, tu dois déjà résoudre ce problème. Est-ce que tu n'as pas un problème avec les câbles, ou les cartes ? As tu tenté de les inverser ? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Vu qu'une des cartes est RJ45 et l'autre BNC, je ne peux pas les inverser <IMG SRC="images/smiles/icon_frown.gif"> Mais vu que les ping fonctionnent de Green ==> IPcop et Orange ==> IPCop, je suppose que le probleme ne vient pas d'une carte ou d'un cable défectueux.

par **gla** » 18 Oct 2003 18:12

Ben à la console d'IPCOP, tu dois saisir la commande "route"

par **neo_hijacker** » 18 Oct 2003 18:15

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-18 18:08, antolien a écrit: Désolé ce n'est pas une table de routage ça lol: Une table de routage c'est le résultat d'un 'route' sur ton ipcop. Bref, ajoutes le port 20 pour le ftp-data(car le 21 n'est qu'un port de contrôle), où alors passes les clients en passif et ça marche très bien à ma connaissance (bannir IE pour explorer le ftp..) Mode actif = Le client se connecte sur le 21 et s'authentifie, lance les commandes de contrôle. Ensuite le serveur initie la connexion sur le client par le port 20 pour transférer les data. Mode passif = Le client se connecte sur le 21 et s'authentifie, lance les commandes de contrôle (idem) Ensuite le client établie une connexion sur un port > 1024 (aléatoire ) pour transférer les data. C'est pourquoi sous iptables ça pose problème de l'exterieur si le serveur en dmz ne peut pas envoyer les data par le port 20, ni reçevoir des connexions pour un port > à 1024... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Jai testé une connexion en PASV et c'est le meme problème <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-18 18:12, gla a écrit: Ben à la console d'IPCOP, tu dois saisir la commande "route" </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Merci <a href="mailto:root@ipcop:~">root@ipcop:~</a> # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.254.254 * 255.255.255.255 UH 0 0 0 ppp0 10.0.0.138 * 255.255.255.254 U 0 0 0 eth2 192.168.100.0 * 255.255.255.0 U 0 0 0 eth0 192.168.200.0 * 255.255.255.0 U 0 0 0 eth1 default 192.168.254.254 0.0.0.0 UG 0 0 0 ppp0 <a href="mailto:root@ipcop:~">root@ipcop:~</a> #

Problème sur réseau orange (FTP)

Qui est en ligne ?