j ai un probleme d acces a mon serveur ftp
j ai installer un pureftpd (version 1.0.11) sur une machine de la dmz qui ecoute sur le port 21
 
la ligne de commande de pureftpd :
pureftpd -S 192.168.1.2,21 -B -A -c20 -C2 -N -w -E -I5 -k 95% -u1001 -U137:027
 
voila ma conf reso :
 
lan (192.168.0.0/24) --------|
                                          |firewall ---------- internet
dmz (192.168.1.0/24) --------|
 
du lan a la dmz, je laisse passer le port 21 et 20 sans restriction (on verra apres qd ca marchera pour ameliorer la secu )
 
de mon lan, j arrive a acceder a mon serveur ftp qui est dans la dmz, sans aucun probleme
 
je fais les meme regles entre la dmz et internet en mettant en place le port forwarding, mais la ca marche plus
a partir d internet, on accede bien au ftp sur le port 21, donc tout ce qui est commande arrive a passer, mais ca bloque a partir du moment ou on veut lister et donc quand il faut ouvrir le port data (20)
 
j en deduis qu'il s agit d'un prob au niveau du nat, puisque du lan ca marche et pas a partir d internet
j ai essayer de charger le module conntrack_ftp d'iptables, mais ca change rien...
 
alors si quelqu'un a une idee sur la source du probleme, je suis preneur
 
merci d avance pour votre aide

[jfdsdjhfuetppo]--Message édité par djtoz--[/jfdsdjhfuetppo]

forwarder le 20 aussi .

une regle du style :
 
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 20:21 -j DNAT --to 192.168.0.243

mais j'ai une question : comment faire pour que cela fonctionne si je veux mettre un ftp sur le port 99  ?  
 
et aussi comment mettre 2 ftp (donc sur 2 ports differents) derriere une passerelle ?

kom je l ai precise je laisse passer le port 20 et 21

[jfdsdjhfuetppo]--Message édité par djtoz--[/jfdsdjhfuetppo]

ta regle n'est pas bonne alors

une recherche peut etre utile parfois  
 
http://forum.hardware.fr/forum2.ph [...] p=1&trash=

et t'as essayé en t'inspirant de la regle que je t'ai donné 3 posts plus haut ?

j utilise la connetion sur le ftp en mode actif
dans ca cas la, il n y a pas besoin de port forwarder le port 20 sur ma machine du lan
la connection data est etablie par le serveur ftp lui meme

donc actuellement mes regles iptables ressemble a ca :
 
iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 21 --dport $hightport -o ppp0 -j ACCEPT
iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 20 --dport $hightport -o ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -d $dmz -p tcp --dport 21 --sport $hightport -o eth1 -j ACCEPT
iptables -A FORWARD -i ppp0 -d $dmz -p tcp --dport 20 --sport $hightport -o eth1 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.1.2

[jfdsdjhfuetppo]--Message édité par djtoz--[/jfdsdjhfuetppo]

a ta place je degagerais tes 4eres regles et forwarderais le 20:21 dont le cas exposé dans un autre topic fonctionne . Et il faudra demander à qqun de l'exterieur de faire le test

bon j ai essayais avec ca alors
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 20:21 -j DNAT --to 192.168.1.2
 
mais ca marche pas, ce qui est qd meme assez logique
mais bon kom ca j aurais essayer

 
ben si je degage mes 4 regles, je vais drop tous les paquets entre ma dmz et internet....
ca va pas m aider pour faire marcher mon ftp
 
sinon je fais des tests a partir d'une gate distante

ce que je vois c'est que ton ftp est sur une machine de ta dmz .  
le probleme quasi identique est resolu sur le lien que je t'ai donné.  
 
bon courage .

ya pas que les ports 20 et21 a ouvrir
 
essaie une regle du style:
 
en ayant ipt-conntrack-ftp de charge
 
rajoutes ca en sortie sur ton firewall
-m state --state NEW,ESTABLISHED,RELATED
 
et ca en entree:
-m state ESTABLISHED,RELATED
 
dans les regles de forwarding bien sur, sans specifier le numero de port