Probleme avec ftp derriere une passerelle NAT ...
Probleme avec ftp derriere une passerelle NAT ... - Linux et OS Alternatifs
Marsh Posté le 04-03-2002 à 23:03:46
utilises le mode passive et charge le module ip_conntrack_ftp sur ta passerelle
---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Marsh Posté le 04-03-2002 à 23:04:34
| the_fireball a écrit a écrit : utilises le mode passive et charge le module ip_conntrack_ftp sur ta passerelle |
comment on passe en mode passif (en ligne de commande)?
[jfdsdjhfuetppo]--Message édité par tatanka--[/jfdsdjhfuetppo]
Marsh Posté le 04-03-2002 à 23:09:07
le mode passif, c'est sur ton client ftp que tu dois l'activer.
Sur le client, il faut ouvrir le port 20 en sortie, mais je pense que le ip_conntrack_ftp s'en charge
Marsh Posté le 04-03-2002 à 23:09:35
ftp -p
---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Marsh Posté le 04-03-2002 à 23:22:41
c'est bien ça, merci bien
j'ai aussi un probleme avec le dcc send de irc (alors que le chat marche tres bien) et pour trouver des serveur disponible a quake.
j'imagine que c'est le meme probleme ?
comment ça se fait ?
qu'est que font les modules ip_conntrack_* exactement ?
Marsh Posté le 04-03-2002 à 23:37:40
et y-a d'autres modules nommer ip_nat_*
ils servent a quoi ceux-la ?
Marsh Posté le 04-03-2002 à 23:56:53
ces modules se chargent de gérer les connexions pour des protocoles bien pourris genre ftp. Tu les charges, tu autorises le port 21 et ces modules se chargent d'analyser les paquets et de laisser passer les retours.
---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Marsh Posté le 05-03-2002 à 00:01:38
| the_fireball a écrit a écrit : ces modules se chargent de gérer les connexions pour des protocoles bien pourris genre ftp. Tu les charges, tu autorises le port 21 et ces modules se chargent d'analyser les paquets et de laisser passer les retours. |
j'insiste un peu mais je voudrais comprendre
j'ai activer aucun de ces modules
alors pourquoi ça marche quand même (sous reserve de se connecter en mode passif)
Marsh Posté le 05-03-2002 à 09:31:33
ça marche car tes règles ne doivent être pas etre trop restrictive dans le sens reseau interne -> Internet. Tu as du laisser tout sortir. Par contre, si tu ne laisses sortir depuis l'interne vers le net que le port 21 (et le dns aussi ça aide), ben ces modules vont t'aider car dans le cas du ftp, les communications vont taper dans des ports > 1024 que tu n'as pas explicitement ouverts. Mais grace à ces modules, iptables va pouvoir examiner et savoir que ces paquets qui reviennent ou partent appartiennent à ta connexion ftp et va les laisser passer.
---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Marsh Posté le 05-03-2002 à 12:58:56
| the_fireball a écrit a écrit : ça marche car tes règles ne doivent être pas etre trop restrictive dans le sens reseau interne -> Internet. Tu as du laisser tout sortir. Par contre, si tu ne laisses sortir depuis l'interne vers le net que le port 21 (et le dns aussi ça aide), ben ces modules vont t'aider car dans le cas du ftp, les communications vont taper dans des ports > 1024 que tu n'as pas explicitement ouverts. Mais grace à ces modules, iptables va pouvoir examiner et savoir que ces paquets qui reviennent ou partent appartiennent à ta connexion ftp et va les laisser passer. |
ouai, je laisse tout sortir ...
c'est pas trop dangereux, si ? Si ce qui entre est bien bloquer ça devrait être suffisant dans la majorité des cas, non ?
Marsh Posté le 05-03-2002 à 13:04:11
vi moi aussi je laisse PRESQUE tout sortir pour une machine de mon rezo local. En fait, je bloque le netbios (TCP/UDP 137 138 139) pour que mon Samba et mon windows ne se propage pas sur le net. Mais je te parlais dans le cas d'une entreprise qui ne veut laisser que quelques ports ouvert pour ses employés, dont le ftp. Et la les modules de conntrack sont utiles !
---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Marsh Posté le 05-03-2002 à 13:18:28
| the_fireball a écrit a écrit : vi moi aussi je laisse PRESQUE tout sortir pour une machine de mon rezo local. En fait, je bloque le netbios (TCP/UDP 137 138 139) pour que mon Samba et mon windows ne se propage pas sur le net. Mais je te parlais dans le cas d'une entreprise qui ne veut laisser que quelques ports ouvert pour ses employés, dont le ftp. Et la les modules de conntrack sont utiles ! |
je comprends (et pour le netbios, j'ai pas samba, et j'utilise pu windows 
)
Sujets relatifs:
- probléme install window maker
- [DEBIAN WOODY] probleme bizzar avec la souris
- Problème avec ntop et interface ppp0.
- Problème pour monter un cd audio...
- probleme quake3 linux[resolu]
- problème de lenteur sous Linux ... (newbie)
- probleme de shutdown de pc avec alim ATX
- probleme avec xawdecode
- Mandrake 8.1 + Modem Olitec = probleme
- Probleme d'installation de la 8.1
Marsh Posté le 04-03-2002 à 22:51:14
tout marche nickel quand je me connecte depuis ma passerelle (qui fait du NAT et du firewalling grace à netfilter), mais quand je me connecte depuis un pc client, ça marche pas.
je me connecte à un serveur ftp sans probleme, mais quand je fait ls, il me mets :
[jfdsdjhfuetppo]--Message édité par tatanka--[/jfdsdjhfuetppo]