View previous topic :: View next topic |
Author |
Message |
Apolonius Guru
Joined: 24 Jan 2003 Posts: 325
|
Posted: Thu Nov 06, 2003 12:17 pm Post subject: [pure-ftpd] ftp passif derrière un firewall |
|
|
Je n'arrive pas à faire marcher pure-ftpd-1.0.16c en mode passif derrière mon firewall (speedtouch home ethernet bidouillé en STP/firewall).
-j'utilise dns2go pour l'ip dynamique. Cela marche bien: un host blabla.dns2go.com me renvoit mon ip.
-pure-ftpd est configuré pour accepter les utilisateurs virtuels. Cette partie semble bien fonctionner, vu que j'arrive à me connecter sous un user depuis mon réseau local.
- je lance pure-ftpd comme ceci:
pure-ftpd -A -lpuredb:/etc/pureftdp.pdb -p 60000:65000 &
(j'ai également essayé avec l'option NAT, -N)
Il me semble que le prob provient de la config de mon firewall. Cependant il m'est possible avec ce-dernier d'utiliser edonkey (en highID) et de faire du ftp passif en mode client.
voici sa config:
Code: |
=>firewall list
assign hook=input chain=INPUT
assign hook=sink chain=SINK
assign hook=forward chain=FORWARD
assign hook=source chain=SOURCE
assign hook=output chain=OUTPUT
=>firewall chain list
SINK, SOURCE, OUTPUT, FORWARD, INPUT
=>firewall rule list
firewall rule create chain=SINK index=0 srcintf=eth0 prot=udp dstport=tftp action=drop
firewall rule create chain=SINK index=1 srcintf=eth0 srcbridgeport=1 action=accept
firewall rule create chain=SINK index=2 srcintfgrp=!wan action=accept
firewall rule create chain=SINK index=3 prot=udp dstport=dns action=accept
firewall rule create chain=SINK index=4 prot=icmp icmptype=echo-request action=accept
firewall rule create chain=SINK index=5 action=drop
firewall rule create chain=SOURCE index=0 dstintfgrp=!wan action=accept
firewall rule create chain=SOURCE index=1 prot=udp dstport=dns action=accept
firewall rule create chain=SOURCE index=2 prot=icmp icmptype=echo-reply action=accept
firewall rule create chain=SOURCE index=3 action=drop
firewall rule create chain=FORWARD index=0 srcintfgrp=wan dstintfgrp=wan action=drop
firewall rule create chain=FORWARD index=1 srcintfgrp=wan prot=tcp dstport=60000 dstportend=65535 action=accept
firewall rule create chain=FORWARD index=2 srcintfgrp=wan prot=tcp dstport=80 action=accept
firewall rule create chain=FORWARD index=3 srcintfgrp=wan prot=tcp dstport=20 action=accept
firewall rule create chain=FORWARD index=4 srcintfgrp=wan prot=tcp dstport=ftp action=accept
firewall rule create chain=FORWARD index=5 srcintfgrp=wan prot=tcp dstport=4661 action=accept
firewall rule create chain=FORWARD index=6 srcintfgrp=wan prot=tcp dstport=4662 action=accept
firewall rule create chain=FORWARD index=7 srcintfgrp=wan prot=udp dstport=4665 action=accept
firewall rule create chain=FORWARD index=8 srcintfgrp=wan prot=udp dstport=4666 action=accept
firewall rule create chain=FORWARD index=9 srcintfgrp=wan prot=tcp dstport=2234 action=accept
firewall rule create chain=FORWARD index=10 srcintfgrp=wan prot=udp dstport=5534 action=accept
firewall rule create chain=FORWARD index=11 srcintfgrp=wan prot=tcp syn=yes ack=no action=deny
firewall rule create chain=FORWARD index=12 srcintfgrp=wan prot=tcp action=accept
|
Si vous avez des suggestions, n'hésitez surtout pas. |
|
Back to top |
|
|
Tucs n00b
Joined: 24 Sep 2002 Posts: 45
|
Posted: Fri Nov 07, 2003 9:32 am Post subject: |
|
|
as-tu chargé le modules ip_conntrack_ftp ? |
|
Back to top |
|
|
Apolonius Guru
Joined: 24 Jan 2003 Posts: 325
|
Posted: Fri Nov 07, 2003 11:09 am Post subject: |
|
|
J'utilise un firewall hardware, c'est ça le problème.. |
|
Back to top |
|
|
Doudou Apprentice
Joined: 10 Jan 2003 Posts: 286 Location: Paris, France
|
Posted: Tue Nov 11, 2003 3:28 pm Post subject: |
|
|
Est ce que la version de Firmeware que tu as mis sur ton modem Alcatel STH permet le ftp passif? Si non, il faut que tu translate ton range de port passif sur ton modem/routeur (mais tu es limité a 100 ce qui est lagement suffisant vu le nombre de connection que tu vas avoir sur ton FTP ) |
|
Back to top |
|
|
Apolonius Guru
Joined: 24 Jan 2003 Posts: 325
|
Posted: Thu Nov 13, 2003 9:25 pm Post subject: |
|
|
Doudou > oui cela doit être cela.
Il y a quelque temps, j'utilisais le FW + NAT mais comme, du fait de la limitation mémoire de mon speedtouch bidouillé, les tables de routage avaient tendance à s'écrouler et les transmissions se coupaient. C'est pourquoi, j'utilise depuis la "technique" du default server: je crée mes règles de firewall et je récupère tout ce qui passe vers un default server qui est l'adresse de mon unique pc de mon réseau local. Cette technique n'est possible, bien sûr, que si l'on a qu'un seul pc mais ,depuis, je dois dire que je n'ai plus eu aucun prob.
Je pense donc qu'en l'état actuel de ma config FW, il m'est impossible de faire serveur de ftp passif. Merci pour ta réponse. |
|
Back to top |
|
|
Doudou Apprentice
Joined: 10 Jan 2003 Posts: 286 Location: Paris, France
|
Posted: Sun Nov 16, 2003 7:43 pm Post subject: |
|
|
Ok, si tu utilise l'option "Default server", tu n'as pas de probleme de translation. Pour le Firewall, je ne l'ais jamais configurer... mais j'aurais 2 questions :
- Tu configure tes port passifs de 60000 a 65000 et tu authorise sur le firewall de 60000 a 65535 : est-ce normale?
- as-tu essayé de mettre "dstport=21" a la place de "dstport=ftp"?
cf : Forpage.com |
|
Back to top |
|
|
Apolonius Guru
Joined: 24 Jan 2003 Posts: 325
|
Posted: Sun Nov 16, 2003 7:58 pm Post subject: |
|
|
- effectivement, tu as raison en ce qui concerne ma config des ports passifs de mon ftp et de mon firewall. J'espère que c'était pour cela que cela foirait.
- concernant le "dstport" de la conf du firewall, si je le config en 21, un firewall rule list me mettra ftp car je crois que certains ports (dont le 21) sont "bindés" dans la mem du firewall. |
|
Back to top |
|
|
Doudou Apprentice
Joined: 10 Jan 2003 Posts: 286 Location: Paris, France
|
Posted: Mon Nov 17, 2003 8:06 am Post subject: |
|
|
Apolonius wrote: | J'espère que c'était pour cela que cela foirait. |
J'en doute... ca bloquait juste moins de port que prévu...la je bloque
Est ce que tu pourais plus d'onfo qu niveau de la connexion : "Connexion refusé", "connexion réalisé mais pas d'arboressence"... en gros ce que te renvoie le serveur. |
|
Back to top |
|
|
|