Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
654 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Probleme avec ftp derriere une passerelle NAT ...

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Probleme avec ftp derriere une passerelle NAT ...

n°73621
tatanka
Posté le 04-03-2002 à 22:51:14  profilanswer
 

tout marche nickel quand je me connecte depuis ma passerelle (qui fait du NAT et du firewalling grace à netfilter), mais quand je me connecte depuis un pc client, ça marche pas.
 
je me connecte à un serveur ftp sans probleme, mais quand je fait ls, il me mets :
 

Code :
  1. tatanka@client:~$ ftp ftp.debian.org
  2. Connected to ftp.debian.org.
  3. 220 saens.debian.org FTP server (vsftpd)
  4. Name (ftp.debian.org:tatanka): anonymous
  5. 331 Please specify the password.
  6. Password:
  7. 230 Login successful. Have fun.
  8. Remote system type is UNIX.
  9. Using binary mode to transfer files.
  10. ftp> ls
  11. 500 Illegal PORT command.
  12. ftp: bind: Address already in use
  13. ftp>

 

[jfdsdjhfuetppo]--Message édité par tatanka--[/jfdsdjhfuetppo]

mood
Publicité
Posté le 04-03-2002 à 22:51:14  profilanswer
 

n°73622
the_fireba​ll
I have fucking failed
Posté le 04-03-2002 à 23:03:46  profilanswer
 

utilises le mode passive et charge le module ip_conntrack_ftp sur ta passerelle


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°73623
tatanka
Posté le 04-03-2002 à 23:04:34  profilanswer
 

the_fireball a écrit a écrit :

utilises le mode passive et charge le module ip_conntrack_ftp sur ta passerelle  




 
comment on passe en mode passif (en ligne de commande)?

 

[jfdsdjhfuetppo]--Message édité par tatanka--[/jfdsdjhfuetppo]

n°73625
ethernal
Chercheur de vérité...
Posté le 04-03-2002 à 23:09:07  profilanswer
 

le mode passif, c'est sur ton client ftp que tu dois l'activer.
Sur le client, il faut ouvrir le port 20 en sortie, mais je pense que le ip_conntrack_ftp s'en charge

n°73626
the_fireba​ll
I have fucking failed
Posté le 04-03-2002 à 23:09:35  profilanswer
 

ftp -p


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°73629
tatanka
Posté le 04-03-2002 à 23:22:41  profilanswer
 

c'est bien ça, merci bien
j'ai aussi un probleme avec le dcc send de irc (alors que le chat marche tres bien) et pour trouver des serveur disponible a quake.
j'imagine que c'est le meme probleme ?
comment ça se fait ?
qu'est que font les modules ip_conntrack_* exactement ?

n°73637
tatanka
Posté le 04-03-2002 à 23:37:40  profilanswer
 

et y-a d'autres modules nommer ip_nat_*
ils servent a quoi ceux-la ?

n°73640
the_fireba​ll
I have fucking failed
Posté le 04-03-2002 à 23:56:53  profilanswer
 

ces modules se chargent de gérer les connexions pour des protocoles bien pourris genre ftp. Tu les charges, tu autorises le port 21 et ces modules se chargent d'analyser les paquets et de laisser passer les retours.


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°73642
tatanka
Posté le 05-03-2002 à 00:01:38  profilanswer
 

the_fireball a écrit a écrit :

ces modules se chargent de gérer les connexions pour des protocoles bien pourris genre ftp. Tu les charges, tu autorises le port 21 et ces modules se chargent d'analyser les paquets et de laisser passer les retours.  




 
j'insiste un peu mais je voudrais comprendre
j'ai activer aucun de ces modules
alors pourquoi ça marche quand même (sous reserve de se connecter en mode passif)

n°73701
the_fireba​ll
I have fucking failed
Posté le 05-03-2002 à 09:31:33  profilanswer
 

ça marche car tes règles ne doivent être pas etre trop restrictive dans le sens reseau interne -> Internet. Tu as du laisser tout sortir. Par contre, si tu ne laisses sortir depuis l'interne vers le net que le port 21 (et le dns aussi ça aide), ben ces modules vont t'aider car dans le cas du ftp, les communications vont taper dans des ports > 1024 que tu n'as pas explicitement ouverts. Mais grace à ces modules, iptables va pouvoir examiner et savoir que ces paquets qui reviennent ou partent appartiennent à ta connexion ftp et va les laisser passer.


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
mood
Publicité
Posté le 05-03-2002 à 09:31:33  profilanswer
 

n°73755
tatanka
Posté le 05-03-2002 à 12:58:56  profilanswer
 

the_fireball a écrit a écrit :

ça marche car tes règles ne doivent être pas etre trop restrictive dans le sens reseau interne -> Internet. Tu as du laisser tout sortir. Par contre, si tu ne laisses sortir depuis l'interne vers le net que le port 21 (et le dns aussi ça aide), ben ces modules vont t'aider car dans le cas du ftp, les communications vont taper dans des ports > 1024 que tu n'as pas explicitement ouverts. Mais grace à ces modules, iptables va pouvoir examiner et savoir que ces paquets qui reviennent ou partent appartiennent à ta connexion ftp et va les laisser passer.  




 
ouai, je laisse tout sortir ...
c'est pas trop dangereux, si ? Si ce qui entre est bien bloquer ça devrait être suffisant dans la majorité des cas, non ?

n°73759
the_fireba​ll
I have fucking failed
Posté le 05-03-2002 à 13:04:11  profilanswer
 

vi moi aussi je laisse PRESQUE tout sortir pour une machine de mon rezo local. En fait, je bloque le netbios (TCP/UDP 137 138 139) pour que mon Samba et mon windows ne se propage pas sur le net. Mais je te parlais dans le cas d'une entreprise qui ne veut laisser que quelques ports ouvert pour ses employés, dont le ftp. Et la les modules de conntrack sont utiles !


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°73783
tatanka
Posté le 05-03-2002 à 13:18:28  profilanswer
 

the_fireball a écrit a écrit :

vi moi aussi je laisse PRESQUE tout sortir pour une machine de mon rezo local. En fait, je bloque le netbios (TCP/UDP 137 138 139) pour que mon Samba et mon windows ne se propage pas sur le net. Mais je te parlais dans le cas d'une entreprise qui ne veut laisser que quelques ports ouvert pour ses employés, dont le ftp. Et la les modules de conntrack sont utiles !  




 
je comprends (et pour le netbios, j'ai pas samba, et j'utilise pu windows ;) )


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  Probleme avec ftp derriere une passerelle NAT ...

 

Sujets relatifs
probléme install window maker[DEBIAN WOODY] probleme bizzar avec la souris
Problème avec ntop et interface ppp0.Problème pour monter un cd audio...
probleme quake3 linux[resolu]problème de lenteur sous Linux ... (newbie)
probleme de shutdown de pc avec alim ATXprobleme avec xawdecode
Mandrake 8.1 + Modem Olitec = problemeProbleme d'installation de la 8.1
Plus de sujets relatifs à : Probleme avec ftp derriere une passerelle NAT ...

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.049 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR