madsurfer Boulet's eradicator | J'ai sur la DMZ de mon firewall, un serveur FTP (debian+proftpd).
Avant, il fonctionnait bien, mais il écoutait les requetes sur le port 21. Pour se connecté à partir du web, on faisait une connexion sur le port 2121 du firewall et ce dernier NATè les paquets sur le port 21 du serveur FTP.
Le pb c'est que le port 2121 est rarement ouvert chez nos clients en sorti. J'ai donc décider de faire le contraire. C'est à dire de paramétrer le firewall pour qu'il NAT les paquets arrivant sur le port 21 du firewall vers le port 666 du serveur FTP.
Le problème c'est que depuis que j'ai changé le port d'écoute du serveur FTP, j'arrive à me logger sur le serveur FTP, mais les commandes comme "LIST" ne passe plus. Mon client de messagerie me renvoie ce message.
Je me suis dit, c'est peut etre le NAT qui lui plaie pas... mais meme sans NAT le problème est le meme.
PS : le firewall ne DROP pas les paquets...
Code :
- Etat : Connecté
- Etat : Récupération de la liste de répertoires...
- Commande : PWD
- Réponse : 257 "/" is current directory.
- Commande : PASV
- Réponse : 227 Entering Passive Mode (172,16,100,2,15,77).
- Commande : TYPE A
- Réponse : 200 Type set to A.
- Commande : LIST
- Erreur : Le canal de transfert n'a pas pu être ouvert. Raison : Une tentative de connexion a échoué car le parti connecté n'a pas répondu convenablement au-delà d'une certaine durée ou une connexion établie a échoué car l'hôte de connexion n'a pas répondu.
- Erreur : N'a pas pu récupérer la liste du répertoire
- Commande : REST 0
|
Code :
- ftp:/var/log# netstat
- Active Internet connections (w/o servers)
- Proto Recv-Q Send-Q Local Address Foreign Address State
- tcp 8 0 172.16.100.2:666 10.10.100.110:3898 ESTABLISHED
|
Voila un tcpdump du serveur FTP lorsque je lance une connexion FTP
Code :
- tcpdump: listening on eth0
- 13:36:56.883754 10.10.100.102.3401 > 172.16.100.2.666: S 1421418344:1421418344(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
- 13:36:56.883947 172.16.100.2.666 > 10.10.100.102.3401: S 2053125974:2053125974(0) ack 1421418345 win 5840 <mss 1460,nop,nop,sackOK> (DF)
- 13:36:56.884681 10.10.100.102.3401 > 172.16.100.2.666: . ack 1 win 64240 (DF)
- 13:37:02.126644 172.16.100.2.1513 > 10.10.100.102.113: S 2052778116:2052778116(0) win 5840 <mss 1460,sackOK,timestamp 233105598 0,nop,wscale 0> (DF)
- 13:37:02.127543 10.10.100.102.113 > 172.16.100.2.1513: R 0:0(0) ack 2052778117 win 0
- 13:37:02.132026 172.16.100.2.666 > 10.10.100.102.3401: P 1:29(28) ack 1 win 5840 (DF)
- 13:37:02.138564 10.10.100.102.3401 > 172.16.100.2.666: P 1:11(10) ack 29 win 64212 (DF)
- 13:37:02.138678 172.16.100.2.666 > 10.10.100.102.3401: . ack 11 win 5840 (DF)
- 13:37:02.141029 172.16.100.2.666 > 10.10.100.102.3401: P 29:61(32) ack 11 win 5840 (DF)
- 13:37:02.144177 10.10.100.102.3401 > 172.16.100.2.666: P 11:23(12) ack 61 win 64180 (DF)
- 13:37:02.155188 172.16.100.2.666 > 10.10.100.102.3401: P 61:114(53) ack 23 win 5840 (DF)
- 13:37:02.162665 10.10.100.102.3401 > 172.16.100.2.666: P 23:29(6) ack 114 win 64127 (DF)
- 13:37:02.163916 172.16.100.2.666 > 10.10.100.102.3401: P 114:133(19) ack 29 win 5840 (DF)
- 13:37:02.167036 10.10.100.102.3401 > 172.16.100.2.666: P 29:35(6) ack 133 win 64108 (DF)
- 13:37:02.167737 172.16.100.2.666 > 10.10.100.102.3401: P 133:159(26) ack 35 win 5840 (DF)
- 13:37:02.171657 10.10.100.102.3401 > 172.16.100.2.666: P 35:45(10) ack 159 win 64082 (DF)
- 13:37:02.172660 172.16.100.2.666 > 10.10.100.102.3401: P 159:228(69) ack 45 win 5840 (DF)
- 13:37:02.176030 10.10.100.102.3401 > 172.16.100.2.666: P 45:53(8) ack 228 win 64013 (DF)
- 13:37:02.177064 172.16.100.2.666 > 10.10.100.102.3401: P 228:295(67) ack 53 win 5840 (DF)
- 13:37:02.191306 10.10.100.102.3401 > 172.16.100.2.666: P 53:58(5) ack 295 win 63946 (DF)
- 13:37:02.192517 172.16.100.2.666 > 10.10.100.102.3401: P 295:326(31) ack 58 win 5840 (DF)
- 13:37:02.232506 10.10.100.102.3401 > 172.16.100.2.666: P 58:66(8) ack 326 win 63915 (DF)
- 13:37:02.233541 172.16.100.2.666 > 10.10.100.102.3401: P 326:346(20) ack 66 win 5840 (DF)
- 13:37:02.247099 10.10.100.102.3401 > 172.16.100.2.666: P 66:72(6) ack 346 win 63895 (DF)
- 13:37:02.248151 172.16.100.2.666 > 10.10.100.102.3401: P 346:395(49) ack 72 win 5840 (DF)
- 13:37:02.434097 10.10.100.102.3401 > 172.16.100.2.666: . ack 395 win 63846 (DF)
- 13:37:23.268146 10.10.100.102.3401 > 172.16.100.2.666: P 72:99(27) ack 395 win 63846 (DF)
- 13:37:23.269441 172.16.100.2.666 > 10.10.100.102.3401: P 395:425(30) ack 99 win 5840 (DF)
- 13:37:23.288206 10.10.100.102.3401 > 172.16.100.2.666: P 99:109(10) ack 425 win 63816 (DF)
- 13:37:23.289328 172.16.100.2.665 > 10.10.100.102.3428: S 2076685635:2076685635(0) win 5840 <mss 1460,sackOK,timestamp 233107714 0,nop,wscale 0> (DF)
- 13:37:23.321144 172.16.100.2.666 > 10.10.100.102.3401: . ack 109 win 5840 (DF)
- 13:37:26.281172 172.16.100.2.665 > 10.10.100.102.3428: S 2076685635:2076685635(0) win 5840 <mss 1460,sackOK,timestamp 233108014 0,nop,wscale 0> (DF)
- 13:37:32.281165 172.16.100.2.665 > 10.10.100.102.3428: S 2076685635:2076685635(0) win 5840 <mss 1460,sackOK,timestamp 233108614 0,nop,wscale 0> (DF)
|
Une idée ? Message édité par madsurfer le 08-06-2004 à 12:44:43
|