Salut,
J'ai installé un serveur ftp (pure-ftpd) sur ma passerelle. J'essaye de configurer le firewall pour en tenir compte, mais je n'y arrive pas ^^
D'abord, je me suis dit : pour un serveur ftp en mode actif seul, il suffit d'ouvrir les ports 20 et 21. J'ai donc mis des règles du style :
Code :
- iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT
- iptables -A OUTPUT -o eth0 -p tcp --sport 20 -j ACCEPT
- iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
- iptables -A OUTPUT -o eth0 -p tcp --sport 21 -j ACCEPT
|
mais impossible de se connecter depuis le réseau local, que ce soit avec Filezilla ou la commande ftp de windows (tous les deux en mode actif), il n'affiche pas l'invite de connection. De plus, dans les logs, aucun paquet ne semble droppé.
Je précise que j'ai bien compilé le noyau avec CONFIG_IP_NF_CONNTRACK et CONFIG_IP_NF_FTP. J'ai essayé en compilant les options netfilter du noyau en dur puis en modules : pas d'amélioration.
Ensuite, j'ai essayé d'ouvrir des ports hauts, et je me suis rendu compte que pure-ftpd avait besoin que des ports de la plage 32800-32900 soient ouverts pour que l'on puisse se connecter, et ce même en mode actif. Cela me parait étrange, surtout que j'ai configuré pure-ftpd pour utiliser la plage 42000-42500 pour le mode passif ( le daemon est lancé avec -p 42000:42500 ). J'ai essayé de supprimer cette option, pour voir si elle ne forçait pas le mode passif : toujours pareil.
Et là je sèche. Je ne comprends pas pourquoi les plages ne correspondent pas, et même pourquoi il aurait besoin de ports hauts pour le mode actif. Donc, si quelqu'un a une idée .......
Merci d'avance
---------------
That old saying, how you always hurt the one you love, well, it works both ways.