serveur web et ftp derrière du NAT

serveur web et ftp derrière du NAT - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 28-01-2005 à 02:17:56    

bonjour,
 
je tourne sous mdk 10.1 et je gallère vraiment pour monter un serveur web (apache2) et ftp (j'ai testé proftpd et pure-ftpd)
 
Le pc qui accueille tout ça est sur un réseau local (ip fixe 192.168.0.128), connecté au net via un routeur RP614 v2 (ip 192.168.0.1) lui même relié à une freebox v2.
 
Concernant le serveur web, évidement en locale, pas de problème.
Le port 80 est bien forwardé comme il faut et pourtant aucune de mes connaissance n'arrive à s'y connecter.
 
Pour le serveur ftp, c'est bien plus métaphysique:
en locale, tout roule du tonnerre, évidement; depuis internet, c'est autre chose.
mon frère (sous macos 10) n'arrive pas à se connecter.
un ami sous XP (sans sp2) de même.
un autre ami sous XP (là je sais pas pour les service pack par contre) arrive à se connecter, se logger, mais ne peut lister les repertoires.
moi même, depuis le pc de ma mère (sous mdk 10.0) arrive très bien à me connecter que ce soit avec kbear ou avec le client ftp sur un shell, et ça fonctionne au poil.
 
le tout bien entendu avec à chaque fois les même ports forwardés sur le routeur et exactement la même config du serveur ftp (en l'occurence, il s'agissait de proftpd).
 
voici les ports ouverts sur le routeur: 20,21,80,64000 à 64128 (pour le ftp passif). Tout ces ports étant redirigé sur l'ip 192.168.0.128 de mon réseau local.
proftpd était quand à lui, a priori, correctement paramètré puisque cela fonctionnais très bien chez mes parents. L'ip range pour le passif à 64000->64128 et normalement il renvoyait bien l'ip publique au client et non pas l'ip local (je me suis même servis de gproftpd pour faciliter la configuration).
 
au niveau du routeur, j'ai essayé un peu tout: retour au paramètrage usine et reparamètrage, upgrade vers le dernier firmware officiel, routage statique.
 
bref, j'en peu plus là  :sweat: et je demande de l'aide, au moins morale  :pt1cable:  
 
merci d'avance  :D

Reply

Marsh Posté le 28-01-2005 à 02:17:56   

Reply

Marsh Posté le 28-01-2005 à 15:40:54    

tu as installé le rpm apache2 de la mdk ?
 
tu as check que tes clients sous win n'utilisent pas FXP ou le mode actif ?


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 28-01-2005 à 16:33:30    

apache2 a été installé avec urpmi oui.
 
Pour le fxp, je suis quasi certain qu'on peut éléminé cette hypothèse. Je ne sais pas si filezila le gère, mais mes amis sous win xp on aussi fait, à ma demande, des testes avec les clients ftp en ligne de commande. L'un arrive à se connecter, se logger et reste bloqué sur la commande LIST, l'autre ne se connecte carrément pas. J'ai aussi demander à ces deux personnes de changer pour le mode passif si actif (et inversement) sans résultat. Mais pour le coup, aucun des deux ne sont vraiment des fleches en infos alors je ne sais pas s'ils ont vraiment essayer.
Pour mon frere et son macos 10 par contre, j'ai toute confiance, et ça ne fonctionne pas chez lui en actif comme en passif.
 
en ce moment je test pure-ftpd.
voici les arguments que j'lui donne au lancement:

Code :
  1. pure-ftpd -A -b -H -r -N -p 64000:64128 -P mon_ip_publique


bon alors j'ai sans doute oublié des trucs mais pour le moment je test. Cependant, j'ai entre temps découvert le site http://www.net2ftp.com et là, l'ami sous XP qui n'arrive meme pas à se connecter y arrive (mais pas en mode passif ! :pt1cable: ).
 
je souspsone de plus en plus mon routeur

Reply

Marsh Posté le 28-01-2005 à 17:12:20    

je viens de tester en branchant dirctement la freebox sur la carte ethernet du pc qui fait les serveurs et tout fonctionne sans problème depuis le net  :o  
c'est donc bien lui le responsable  :sweat:  
j'ai pourtant tout bien forwadé, je pige vraiment pas pourquoi il bloque  :fou:
 
j'vais aller poster sur les forums de netgear des fois que...
 
merci encore  :jap:


Message édité par smea le 28-01-2005 à 17:13:35
Reply

Marsh Posté le 28-01-2005 à 19:28:40    

Tu as dit à ton routeur de forwarder les ports, mais as tu vérifié egalement si ton routeur n'avait pas par défaut un firewall d'activé ?

Reply

Marsh Posté le 28-01-2005 à 20:28:43    

le rp614 à une fonction SPI Firewall mais qui ne servirait, d'après la doc, qu'à protéger le lan des attaques DoS.
 
enfin il est activé et j'avoue ne pas avoir testé sans  :sweat:  
cependant, sur la mandrake de mes parents, ça fonctionnais nikel.
 
m'enfin c'est peut-être une piste, pourquoi pas. Je testerais demain  :)

Reply

Marsh Posté le 28-01-2005 à 23:10:15    

j'ai tester en désactivant cette fonction SPI et ça ne change rien
 
le rp614 est vraiment un routeur d'entrée de gamme et à part le NAT, il ne fait rien de très compliqué.
 
ce que je ne comprend pas c'est pourquoi quand je forward les ports bittorent ça fonctionne et pourquoi pour le ftp et le web ça fonctionne pas (sauf depuis chez ma mère avec sa mdk 10.0 :ouch: )

Reply

Marsh Posté le 29-01-2005 à 16:35:40    

c'est quoi le type de probleme sur le srv Web ?
 
Timeout ?
 
Idem, pour le ftp, ça foire en passif, en actif, etc.. ?


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 29-01-2005 à 17:14:42    

c'est bien ça.
 
pour le serveur web, tout les comparses qui ont testé depuis internet on droit à un time out à l'exception de mon frèro et son macos 10 (avec safari je suppose, j'ai pas demandé) qui me dis obtenir une page blanche.
 
pour le ftp, ça dépend des gens:
pour ceux qui ne peuvent pas du tout se connecter le log de filezila (par exemple) indique un time out et retente la connexion jusqu'à plus soif.
pour celui qui peut se logger mais pas lister son log se bloque à la commande LIST.
et sur le pc de ma mère et sa connection rtc ça roule nikel sans rien touché des option (testé par moi-même avec kbear et le client ftp sous un shell).
 
niveau passif et actif, c'est pareil. Avec net2ftp un des camarades qui ne pouvait pas se logguer via un client classique arrivait à se connecter en actif (pourquoi pas puisque le port 20 est aussi forwadé) mais pas en passif (alors que les port 64000 à 64128 sont forwadé et le serveur configuré pour se servir de ces derniers).
 
en bref, j'y panne vraiment quedal  :whistle:  :o

Reply

Marsh Posté le 29-01-2005 à 17:23:50    

Si le forward de port pour bittorrent marche, alors ça devrait marcher nickel chrome pour le web, puisque c'est strictement la même chose.
 
Pour le ftp actif, c'est différent, et ca n'a rien à voir.
 
Cela dit, je ne peux que penser que ton forward est soit mal fait.


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 29-01-2005 à 17:23:50   

Reply

Marsh Posté le 29-01-2005 à 18:34:03    

je comprend bien ta réaction :sweat:
 
j'viens de faire un backup de la config du routeur:
 

Citation :


[Version]
Software=V6.0NA, Sep 03 2004
Hardware=1.02.00
[SYSTEM]
ext-admin=disable,0.0.0.0,0.0.0.0,8080,enable,disable
tftp_server=0.0.0.0
Blank_State=0
[LAN 1]
ip=192.168.0.1,255.255.255.0
[DHCP]
dhcp=enable
forceRenew=disable
renewTime=60
ip=192.168.0.2,192.168.0.50
[UPNP]
upnp=disable
AdverTime=30
TTL=4
port=5678
RebootCount=0
[ROUTE TABLE]
index=0
table=PUBLIC,192.168.0.1,192.168.0.128,255.255.255.0,2,enable,"serveur",1
[INTERNET 1]
profile=enable
description=""
domainname=""
nat=enable
wanMac=auto,000000000000
ip=82.22x.xx.xx,255.0.0.0
gateway=82.22x.xx.xx             (je planque rapidos mon ip hein :o)
TELSTRASERVER="",0.0.0.0
pppoe=disable,"",""
service="","",0
idletime=5
PoeMtu=default,1492,1500
dns=manual,212.27.32.176,212.27.32.177
dmz=192.168.0.0
encap=0
assignType=1
ntp=disable
[VIRTUAL SERVER]
virtual_server=enable
server=enable,20,192.168.0.128:20:21,BOTH,"FTP"
server=enable,80,192.168.0.128:80:80,BOTH,"HTTP"
server=enable,6969,192.168.0.4:6969:6969,BOTH,"bittorent"
server=enable,6880,192.168.0.4:6880:6890,BOTH,"bittorent2"
server=enable,64000,192.168.0.128:64000:64128,BOTH,"ftp passif"

[STATEFUL PI]
spi_log=disable
VPN_pass=enable
block_java=unblock,close
block_activex=unblock,close
block_cookies=unblock,close
[PACKET FILTER]
packet_filter=0
[RIP]
transmit=disable
receive=disable
compatible=0
[CFILTER EMAIL]
emailAlert=disable
server=""
mailto=""
LogSubject="d_e"
AlertSubject="d_e"
SameMailAddr=enable
MailFromAddr=""
ServerAuth=disable
AuthUserName=""
AuthPassword=""
alertImm=disable
alert=0
day=0
hour=12
ampm=0
GMT=-8
daylight=disable
[CFILTER KEYWORD]
block=0
count=0
[CFILTER SCH]
schedule=disable
blockDays=1,1,1,1,1,1,1
BlockAllday=enable
StartHour=0
StartMinu=0
EndHour=0
EndMinu=0
[CFILTER TURSTED]
TrustIPFlag=disable
TrustIP=192.168.0.0
[DYNAMIC DNS]
dynamic_dns=disable
loginname=
password=
hostname=
domainname=
wildcard=disable
[PORT TRIGGER]
TRIGGER TABLE=enable
timeout=20
table=enable,20,21,20,21,"ftp"
table=enable,64000,64128,64000,64128,"ftp2"
table=enable,80,80,80,80,"http"         (la c'est des tests moisis qui n'ont rien changé, toute façon je ne sais même pas à quoi ça sert :o)
[end]


 
et pour montrer que je ne suis pas totalement fou (enfin ça ne saurais tarder  :pt1cable: ):

Citation :


[root@smeamdk10 peshane]# ifconfig
eth0      Lien encap:Ethernet  HWaddr 00:10:B5:BF:A2:2F
          inet adr:192.168.0.128  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::210:b5ff:febf:a22f/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:391 errors:0 dropped:0 overruns:0 frame:0
          TX packets:521 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:179118 (174.9 Kb)  TX bytes:71477 (69.8 Kb)
          Interruption:18 Adresse de base:0xff00


 
bitorrent sur la machine 192.168.0.4 fonctionne sans problème.
et je repête, même si ça parait dingue, que le ftp fonctionnais sur le pc de ma mère  :ouch:  
 
ceci dis, j'ai tellement le nez dedans qu'il peut avoir un truc aussi con qu'évident que je ne vois pas, ça n'aurais rien d'impossible.
 
une chose est certaine: j'ai besoin d'une aide  :D

Reply

Marsh Posté le 21-02-2005 à 14:00:18    

Hi,
 
Un petit up à ce topic pour savoir si une solution a été trouvée ? (même problème).

Reply

Marsh Posté le 16-03-2006 à 23:44:06    

forwardé
ftp1 port 20-20
ftp2 port 21-21
ftp3 port 50000-50100
spi=disable

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed