EDIT : y-avait pas de probleme en fait, on peut pas tester en local apparemment, en mettant son adresse internet)
 
 
voila le script qui initialise sur ma passerelle :  
 

 
 
je veux pouvoir avoir acces a mon ftp qui est sur mon pc client(192.168.0.2), mais pas moyen, il veut rien entendre !

[jfdsdjhfuetppo]--Message édité par tatanka--[/jfdsdjhfuetppo]

Essai ça, ce sont deux regles que g modifiée mais qui marchaient avec edonkey
 
# Forward the port
$IPTABLES -A PREROUTING -t nat -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.0.2:21
# Accept connection on tcp port 21
$IPTABLES -A FORWARD -i ppp0 -p tcp --dport 21 -d 192.168.0.2/24 -j ACCEPT

[jfdsdjhfuetppo]--Message édité par the_fireball--[/jfdsdjhfuetppo]

 
ben ça ressemble vachement à ce que j'ai quand même ... bon j'essaie, on verra bien

Vi ça ressemble vachement, mais ya une diff quelque part car chez moi ça marche  
 
Je redirige avec ce style de règles le traffic pour edonkey et icq et no soucy

c'est bien ce que je pensais, aucun changement ...

the_fireball a écrit a écrit : Vi ça ressemble vachement, mais ya une diff quelque part car chez moi ça marche     Je redirige avec ce style de règles le traffic pour edonkey et icq et no soucy

 
 
   
 
ben moi, il veut pas ... et il me met même plus filtered pour les ports ftp, alors qu'il me mettait avant, mais je retrouve plus comment j'avais paramétré ça ...

port 20 ?

attention aux test locaux !  mieux vaut demander un test de quelqu'un à l'exterieur .

 
je suis d'accord, mais tant que mes port seront pas détecter comme étant ouvert (avec nmap) c'est même pas la peine de tester ... (au mieux j'ai eu filtered)

fireball > c'est un futur adepte pour le ring ..

[jfdsdjhfuetppo]--Message édité par saudium--[/jfdsdjhfuetppo]

 
 
pas mieux ...

si tu laisses la ligne avec le -s $ip ca risque pas de marcher puisque les paquets ne sont pa generes localement par ta passerelle
 
essaie en virant cette option et ca doit tourner
 
sinon ton firewall est un peu fouilli, definis les politiques par defaut au debut

[jfdsdjhfuetppo]--Message édité par apolon34--[/jfdsdjhfuetppo]

 
je sais pas ce que tu as voulu dire pour le $ip, mais j'ai quand même essayer en le virant, et ça marche pas mieux
j'ai aussi essayer en virant le firewall :
iptables -F
iptables -X
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 20:21 -j DNAT --to 192.168.0.243
echo 1 > /proc/sys/net/ipv4/ip_forward
 
toujours rien ...
ça me met, "ftp, connection refused"  (c'est p-t mon ftp qui est mal paramétrer, mais y-a pas de raison, que ça refuse, avant même de demander un mot de passe. En plus, aucun port ne semble ouvert, que ce soit en regardant avec netstat ou avec nmap)

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
 
et refait des tests, comme ça tu seras sur que c'est pas le firewall

 
ben apres avoir fait un iptables -F / iptables -X  les polices policy par défaut sont en accept normallement.
Bon, j'essaie pour la forme et parce que je vois vraiment pas d'où ça peut venir
 
 
j'oubliais, y-a il un service qu'il faut démarrer, parce que j'ai tous virer moi, j'ai laisser que le nécessaire

j'en sais rien si par défault c en accept ou non, je ne me rappelle plus de la doc  
 
Ca coute rien de tester. Et pour les services, euh, je vois pas. LEs modules iptables sont chargés ?

the_fireball a écrit a écrit : j'en sais rien si par défault c en accept ou non, je ne me rappelle plus de la doc     Ca coute rien de tester. Et pour les services, euh, je vois pas. LEs modules iptables sont chargés ?

 
ben j'ai pas mis les modules ftp, mais à ma connaissance, y-a pas besoin, c'est seulement pour les client ftp qui veulent se connecter en actif

je sais, mais j'ai jamais parlé du module ftp spécifiquement
 
Perso j'ai ça sur ma passerelle :
 
lsmod :
 
ipt_MASQUERADE
ipt_limit
ipt_state
iptable_filter
ipt_LOG
ip_nat_ftp
iptable_nat
ip_tables
ip_conntrack_ftp
ip_conntrack
 
Mais elle fait du ftp client parfois c'est pour ça que j'ai le module ip_conntrack_ftp

[jfdsdjhfuetppo]--Message édité par the_fireball--[/jfdsdjhfuetppo]

Moi aussi je cherche.
Sous red-hat j'ai l'aissé le firewall "élevé" et j'ai rajouté ça:
 
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
 
Icq, web, msn, ça fonctionne.
Mais pour tout le reste non. pas de ftp vers l'extérieur, trop chiant.
Comment faire finalement pour avoir le ftp ?
 
Merci d'avance
@++

 
pour le ftp, soit tu te connecte en mode passif (man ftp) soit tu installe les modules ip_conntrack_ftp et ip_nat_ftp (et ip_masq_ftp p-t aussi, je sais jamais lesquels faut mettre)
 
moi, mon probleme, c'est que je veux faire fonctionner un serveur ftp, les clients ftp, c'est facile a faire fonctionner  

ben moi c le contraire. Le ftp sur mon serveur fonctionne super bien.
Je vias tester ce que tu dis.
@++

Donc faut que je chope:
ip_conntrack_ftp
ip_nat_ftp  
Où je peux trouver ça ?
Dois-je modifier les règles de firewall ?
Merci d'avance

 
pour tes regle de firewall, je sais pas, faudrais savoir comment il est configurer, mais je pense pas
 
tu trouveras les modules (si ton kernel a bien été compiler, sinon, faudra le refaire   ) en faisant modconf, tu sélectionne dans la liste

modconf: command not found  
@+

MD le bosse a écrit a écrit : modconf: command not found   @+

 
en root

Ben c un serveur, donc je suis constamment en root. Y'a que root qui a accès au shell.
Une idée ?

 
 
ben le seul moyen que je vois , c'est de faire un rpm find modconf (je sais pas du tout la commande exact, je connais pas les rpm) et pis tu l'installes
par contre, ton histoire d'être toujours en root, ça me parait dangereux ...

Ben si je suis toujours en root, c'est que quand je suis connecté c pour faire de la maintenance du système (mise à jour log, modifs configs système, etc...).
J'ai pas d'écran sur mon serveur, seulement une connexion par ssh. C'est un serveur web.
Donc j'ai pas de raison de me connecter sous un utilisateur.
Je vais essayer de trouver modconf.
@++ et merci

 
 
réflexion faite, c'est vrai que je me connecte rarement, mais en général c'est en root.
par contre j'ai entendu dire qu'il fallait éviter de démarrer des démon avec les droits root, mais je me rends compte que y-a que le ftp qu'est pas en root (sshd par exemple, est en root). Je sais pas si ça pause vraiment probleme ...
 
m'enfin, on s'écarte du sujet là, j'ai toujours pas d'acces à mon serveur ftp depuis l'extérieur moi ...  

Attends : y a un truc que je capte pas ta situation est bien la suivante :
 
 
serveur ftp (ip 192.168.0.2) <------> passerelle (ip 192.168.0.1 pour le local et 21.156.148.36 vis à vis d'internet par exemple) <------> internet
 
et tu veux qu'un utilisateur qui se connecte sur ftp://21.156.148.36 arrive directement sur ton serveur ftp
 
C'est bien ça ?
 
 
Pasque si c'est le cas c'est à mon avis pas aussi simple que si le serveur ftp est sur la passerelle (ou il suffit d'ouvrir le port 21)
 
va falloir trouver une ligne qui fait en sorte que toute requête ftp-client  arrivant sur la paserelle soit redirigée vers le serveur.
 Mais quid d'une requête ftp émanant d'un autre ordi de ton réseau ?
 
Si tu trouves personne qui l'as déjà fait, t'es bon pour une immersion dans la doc de netfilter.
 
désoler de pas pouvoir t'aider plus, mais ça clarifie un peut la formulation du problème (si je l'ai bien compris, ce qui n'est pas forcément évident)
 
a+

 
c'est tout a fait ma situation, et c'est cette ligne qui est censé s'en occupé :
 
iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 20:21 -j DNAT --to 192.168.0.243
 
j'ai bien dit "censé" ...

[jfdsdjhfuetppo]--Message édité par tatanka--[/jfdsdjhfuetppo]

pk 192.168.0.243?

modconf est spécifique à la Debian je crois bien... Pour une redhat, doit falloir éditer le fichier /etc/modules.conf et rajouter les modules souhaités.

 
c'est un exemple pour mon pc client

personne sait ... doit y-avoir une raison quand même ...

Dans /etc/module.conf, j'ai:
alias eth0 8139too
alias eth1 8139too
alias parport_lowlevel parport_pc
alias usb-controller usb-uhci
 
Donc je rajoute quoi comme ligne, si c'est bien ça ?
@+

tatanka > quand tu fais tes tests , tu demandes à quelqu'un de l'exterieur ?  
 
sinon je viens de me connecter sur ton ftp. (mais non loggé)

 
il t'a pas mis, connection refused ?!
cool ça ... c'est bizarre que nmap et netstat ne voit rien ...
regarde tes MP

 
je trouve bizarre qu'il n'y est pas de modconf ou équivalent sous redhat ... je sais pas trop quel alis il faut pour ip_conntrack_ftp ...
essaie de faire un modprobe sur les nom des modules qu'il faut utilisé, et si ça marche comme ça, tu mets leurs noms dans le fichier /etc/modules (pour les charger à chaque boot)