Voila, j'ai mon firewall (mandrake SNF 7.2) qui est par defaut configurer en ftp passif, j'ai ouvert les port ftp et je forward vers un serveur ftp (proftpd).
Seulement voila, apparemment le mode passif interdit la connection au travers du firewall. J'ai lu la faq de proftpd et leur solution c'est de passer en mode actif !!! Y'a pas une autre solution que celle-la ? Comment peut-on faire un serveur ftp passif avec firewall alors ?
 
Merci
 
Nouvelle question en bas du topic !

rien compris à ce que tu marmones

je crois que le monsieur il arrive pas à accepter les connexions en passive mode derriere son fw
 
PS: moi non plus

c'est certainement un problème de EPSV/EPRT...  
quel firewall?
testé avec pure-ftpd?

actuellement au niveau de ton firewall, tu a surement une regle de forward qui renvoie le port 21(command) sur ton serveur FTP
 
si tu veut accepter des connections en modes passif, il faut que tu forward egalement une plage de port >1024
il faut donc aussi configurer ton serveur FTP pour lui dire quels ports utiliser lors de connections passive
 
oila

Oui, j'ai cree une entree avec les ports 51000:51999 et j'ai parametre le proftpd.conf en consequence... mais y'a toujours rien qui passe.
Mais bon je viens de voir qu'il y avait un autre probleme (meme le www ne passe pas !). Donc doit-y avoir un probleme au niveau des regles. Je vais relance bastille-linux, histoire de voir...
 
ping> Mandrake SNF 7.2 (bastille-linux, ipchains)
 
merci

Voila ça marche, enfin presque
C'est tres bizarre : avec la commande FTP d'un poste win2000 je me connecte et je peut uploader/downloader sans probleme. Mais avec un client FTP, FlashFXP pour ne pas le nommer, il se connecte et juste apres le passage en mode passif (PASV), j'ai connection refusé !
Une idee du pourquoi du comment ? parce que là je vois pas du tout de quoi ça peut venir...
 

si tu mettais le log de flashfxp ça aiderait

Voila !
 
---
WinSock 2.0
Connecting to xxx.d2g.com
Connected to xxx.d2g.com Port 21
220 Seticom FTP Server
USER ftpuser
331 Password required for ftpuser.
PASS (hidden)
230 Welcome ftpuser on FTP Server
SYST
215 UNIX Type: L8
REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (217,xxx,xxx,xxx,201,33).
Data Socket Error: Connection refused

le 217.xxx.xxx.xxx c bien ton ip ?

oui, oui... Avec le bol que j'ai en ce moment je serais fichue de me le faire tagger, alors bon je cache

 
ben apparement ton firewall laisse pas passer le mode passif

[jfdsdjhfuetppo]--Message édité par djtoz le 30-05-2002 à 19:59:10--[/jfdsdjhfuetppo]

Ce qui est etrange c'est que normalement il n'autorise *que* le ftp passif. Bastille-firewall est bien configure a PASSIVEFTP=Y et j'ai ouvert les ports 51000:51999 pour cela, proftpd est configure pour utilise lui aussi ces ports. La franchement j'avoue que je comprend pas tout...

Bon voila des infos complementaires. Et un petit resume : avec le ftp en ligne de commande de win2k pas de probleme de connection (je croyais qu'il ne fonctionnait qu'en passif celui-la ?). Avec un client style flashfxp, la connection se coupe au moment de passer en mode passif (PASV).
 
Y'a-t-il quelqu'un qui aurait deja installe et configure un serveur ftp et firewall le tout fonctionnant en mode passif ?  
Toute aide est la bienvenue et je remercie deja ceux qui ont pris le temps de me repondre
 
---
Les ports ouverts du cote public
--------------------------------
 
51000:51999 192.168.0.254 allow
ftp         192.168.0.254 allow
www         192.168.0.254 allow
 
---
Le fichier proftpd.conf
-----------------------
 
ServerName   "FTP"
ServerType   standalone
DefaultServer   on
 
TimeoutStalled   300
AllowStoreRestart  on
Port    21
Umask    022
 
MaxInstances   30
 
User    nobody
Group    nogroup
 
DeferWelcome   off
 
<Limit MKD RNFR RNTO DELE RMD STOR CHMOD SITE_CHMOD SITE XCUP WRITE XRMD PWD XPWD>
 DenyAll
</Limit>
 
<Directory ~>
  AllowOverwrite  on
</Directory>
 
PersistentPasswd  off
 
<Global>
  DefaultRoot   ~
  AllowOverwrite        no
  UseFtpUsers   on
  AllowForeignAddress  on
  MasqueradeAddress  xxx.d2g.com
  PassivePorts   51000 51999
  MaxClients   3
  MaxClientsPerHost  1
  UseFtpUsers   on
  ServerIdent   on "FTP Server"
  AccessGrantMsg  "Welcome %u on FTP Server"
</Global>
 
---
La config IPchains
------------------
 
Service
bastille-firewall
 
Chain input (policy DENY):
target prot opt source destination  ports
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 3 -> 4
DENY all ------ 224.0.0.0/4 0.0.0.0/0 n/a
DENY all ------ 0.0.0.0/0 192.168.0.0/24 n/a
DENY all ------ 192.168.0.0/24 0.0.0.0/0 n/a
DENY all ------ 0.0.0.0/0 192.168.0.0/24 n/a
DENY all ------ 192.168.0.0/24 0.0.0.0/0 n/a
ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a
ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a
ACCEPT tcp ------ 0.0.0.0/0 192.168.0.200 * -> 22
ACCEPT tcp ------ 0.0.0.0/0 192.168.0.200 * -> 68
ACCEPT tcp ------ 0.0.0.0/0 192.168.0.200 * -> 8443
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> *
ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 51000:51999
ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 21
ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 80
ACCEPT tcp !y---- 0.0.0.0/0 0.0.0.0/0 * -> *
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 3 -> *
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 0 -> *
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 11 -> *
DENY icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> *
DENY udp ------ 0.0.0.0/0 0.0.0.0/0 * -> 2049
ACCEPT udp ------ 195.238.2.21 0.0.0.0/0 53 -> 1024:65535
ACCEPT udp ------ 195.238.2.22 0.0.0.0/0 53 -> 1024:65535
DENY all ------ 0.0.0.0/0 192.168.0.200 n/a
DENY tcp ------ 0.0.0.0/0 192.168.0.200 * -> *
DENY udp ------ 0.0.0.0/0 192.168.0.200 * -> *
ACCEPT tcp ------ 192.168.0.0/24 0.0.0.0/0 * -> *
ACCEPT tcp ------ 192.168.0.0/24 0.0.0.0/0 * -> 53
ACCEPT udp ------ 192.168.0.0/24 0.0.0.0/0 * -> *
ACCEPT udp ------ 192.168.0.0/24 0.0.0.0/0 * -> 53
DENY all ------ 192.168.0.0/24 0.0.0.0/0 n/a
 
Chain forward (policy DENY):
target prot opt source destination ports
DENY tcp ------ 0.0.0.0/0 0.0.0.0/0 137:139 -> *
DENY udp ------ 0.0.0.0/0 0.0.0.0/0 137:139 -> *
MASQ all ------ 192.168.0.0/24 0.0.0.0/0 n/a
 
Chain output (policy ACCEPT):
target prot opt source destination ports
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 3 -> 4
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> *

ben t as pas des logs firewall ?
regarde si un port est bloque
 
perso moi j ai mon firewall avec iptables et un serveur pureftpd qui accepte le passif et l actif
 
iptables -A FORWARD -i ppp0 -d $dmz -p tcp --sport 21 --dport $highport -o eth1 -m state --state ESTABLISHED ! --syn -j ACCEPT
iptables -A FORWARD -i ppp0 -d $dmz -p tcp --sport 20 --dport $highport -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -d $dmz -p tcp --sport $highport --dport $highport -o eth1 -m state --state ESTABLISHED ! --syn -j ACCEPT
 
iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 21 --dport $highport -o ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 20 --dport $highport -o ppp0 -j ACCEPT
iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 50000:50100 --dport $highport -o ppp0 -m state --state ESTABLISHED -j ACCEPT
 
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.1.2
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 50000:50100 -j DNAT --to 192.168.1.2
 
j ai configurer mon pureftpd pour utiliser la plage 50000:50100 pour les ports
tout marche nikel
 
je charge egalement ces 2 modules iptables :
ip_conntrack_ftp.o
ip_nat_ftp.o

[jfdsdjhfuetppo]--Message édité par djtoz le 31-05-2002 à 20:49:51--[/jfdsdjhfuetppo]

Bon ça marche toujours pas ! Les ports sont bien ouverts au niveau du firewall masi ça plante toujours au moment de passer en passif...
 
Une question, quand je regarde le iptoip.xml, j'ai bien les redirections pour les ports 20, 21, 80 et 60000:60511. Mais quand je regarde avec ipvsadm le range d'adresse n'est pas la. Je suppose donc que mon probleme de ftp passif vient de la.
Comment donne-t-on un interval d'adresse a ipvsadm pour rediriger la plage entiere vers le serveur ftp (comprend rien au howto d'ipvsadm )?

Personne ne peut me renseigner sur ipvsadm ?
 
Voila plus d'info "visuelle" :
 
[root@firewall /etc]# cat iptoip.xml  
<config>
 <conf>
  <destination>192.168.0.254</destination>
  <port>21</port>
 </conf>
 <conf>
  <destination>192.168.0.254</destination>
  <port>www</port>
 </conf>
 <conf>
  <destination>192.168.0.254</destination>
  <port>20</port>
 </conf>
 <conf>
  <destination>192.168.0.254</destination>
  <port>60000:60511</port>
 </conf>
          <total>4</total> <!-- total number of configurations below -->
 <iface>ppp0</iface> <!-- external interface -->
 <nocheck>1</nocheck> <!-- disable checks (0|1) -->
 <verbose>0</verbose> <!-- verbose mode (0|1) -->
 <syslog>1</syslog> <!-- logging mode (0|1) -->
 
</config>
 
[root@firewall /root]# ipvsadm -L  
IP Virtual Server version 1.0.6 (size=4096)                    
Prot LocalAddress:Port Scheduler Flags                          
  -> RemoteAddress:Port             Forward Weight ActiveConn InActConn
TCP  adsl-xxx.xxx.xxx.xxx:ftp-data wlc
  -> 192.168.0.254:ftp-data         Masq    1      0          0          
TCP  adsl-xxx.xxx.xxx.xxx:ftp wlc
  -> 192.168.0.254:ftp              Masq    1      0          0          
TCP  adsl-xxx.xxx.xxx.xxx:www wlc
  -> 192.168.0.254:www              Masq    1      0          0          
 
Voila, on retrouve bien les ports ftp, ftp-data et www qui sont routes vers la machine serveur, mais rien concernant les ports 60000:60511 pour le ftp passif... Et je ne trouve pas comment on indique a ipvsadm une "range" de port. Quelqu'un connait ??

Personne n'utilise la Mandrake Single Network Firewall ??
 
Bon y'a quoi d'autre comme firewall, parce que la ça commence a me faire ch*** ?! SmoothWall il est comment ??  
J'ai pas envie de passer (perdre) des heures a configurer un linux de base en firewall potable, alors existe-t-il une distrib pre-configure de bonne qualite (et qui arrete de m'emmer*** comme le fait la SNF !!) ?