Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1523 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [ftp] Proftpd, firewall et ftp passif => ipvsadm maintenant...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[ftp] Proftpd, firewall et ftp passif => ipvsadm maintenant...

n°105549
Trracer
Posté le 28-05-2002 à 14:54:59  profilanswer
 

Voila, j'ai mon firewall (mandrake SNF 7.2) qui est par defaut configurer en ftp passif, j'ai ouvert les port ftp et je forward vers un serveur ftp (proftpd).
Seulement voila, apparemment le mode passif interdit la connection au travers du firewall. J'ai lu la faq de proftpd et leur solution c'est de passer en mode actif !!! Y'a pas une autre solution que celle-la ? Comment peut-on faire un serveur ftp passif avec firewall alors ?
 
Merci :jap:
 
Nouvelle question en bas du topic !


Message édité par Trracer le 06-03-2002 à 19:04:03
mood
Publicité
Posté le 28-05-2002 à 14:54:59  profilanswer
 

n°105617
PinG
Rooteur
Posté le 28-05-2002 à 17:30:19  profilanswer
 

rien compris à ce que tu marmones


---------------
-- NO SLACKERS - violators will be fsck'd & tar'd
n°105629
Aiua
PSN : Aiua / GT : Aiua42
Posté le 28-05-2002 à 17:38:21  profilanswer
 

PinG a écrit a écrit :

rien compris à ce que tu marmones  



je crois que le monsieur il arrive pas à accepter les connexions en passive mode derriere son fw
 
PS: moi non plus :D


---------------
"The pen is mightier than the sword if the sword is very short, and the pen is very sharp." TP. Mes Jeux. Mes Ventes. Groupe HFR sur PlayFire.
n°105645
PinG
Rooteur
Posté le 28-05-2002 à 17:55:25  profilanswer
 

c'est certainement un problème de EPSV/EPRT...  
quel firewall?
testé avec pure-ftpd?


---------------
-- NO SLACKERS - violators will be fsck'd & tar'd
n°105649
djtoz
Posté le 28-05-2002 à 18:04:46  profilanswer
 

actuellement au niveau de ton firewall, tu a surement une regle de forward qui renvoie le port 21(command) sur ton serveur FTP
 
si tu veut accepter des connections en modes passif, il faut que tu forward egalement une plage de port >1024
il faut donc aussi configurer ton serveur FTP pour lui dire quels ports utiliser lors de connections passive
 
oila :p

n°105675
Trracer
Posté le 28-05-2002 à 19:33:41  profilanswer
 

Oui, j'ai cree une entree avec les ports 51000:51999 et j'ai parametre le proftpd.conf en consequence... mais y'a toujours rien qui passe.
Mais bon je viens de voir qu'il y avait un autre probleme (meme le www ne passe pas !). Donc doit-y avoir un probleme au niveau des regles. Je vais relance bastille-linux, histoire de voir...
 
ping> Mandrake SNF 7.2 (bastille-linux, ipchains)
 
merci :jap:

n°106545
Trracer
Posté le 30-05-2002 à 18:14:31  profilanswer
 

Voila ça marche, enfin presque :/
C'est tres bizarre : avec la commande FTP d'un poste win2000 je me connecte et je peut uploader/downloader sans probleme. Mais avec un client FTP, FlashFXP pour ne pas le nommer, il se connecte et juste apres le passage en mode passif (PASV), j'ai connection refusé !
Une idee du pourquoi du comment ? parce que là je vois pas du tout de quoi ça peut venir...
 
:jap:

n°106549
Aiua
PSN : Aiua / GT : Aiua42
Posté le 30-05-2002 à 18:23:26  profilanswer
 

si tu mettais le log de flashfxp ça aiderait ;)


---------------
"The pen is mightier than the sword if the sword is very short, and the pen is very sharp." TP. Mes Jeux. Mes Ventes. Groupe HFR sur PlayFire.
n°106568
Trracer
Posté le 30-05-2002 à 18:54:25  profilanswer
 

Voila !
 
---
WinSock 2.0
Connecting to xxx.d2g.com
Connected to xxx.d2g.com Port 21
220 Seticom FTP Server
USER ftpuser
331 Password required for ftpuser.
PASS (hidden)
230 Welcome ftpuser on FTP Server
SYST
215 UNIX Type: L8
REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (217,xxx,xxx,xxx,201,33).
Data Socket Error: Connection refused

n°106586
Aiua
PSN : Aiua / GT : Aiua42
Posté le 30-05-2002 à 19:40:50  profilanswer
 

le 217.xxx.xxx.xxx c bien ton ip ?


---------------
"The pen is mightier than the sword if the sword is very short, and the pen is very sharp." TP. Mes Jeux. Mes Ventes. Groupe HFR sur PlayFire.
mood
Publicité
Posté le 30-05-2002 à 19:40:50  profilanswer
 

n°106594
Trracer
Posté le 30-05-2002 à 19:49:24  profilanswer
 

oui, oui... Avec le bol que j'ai en ce moment je serais fichue de me le faire tagger, alors bon je cache :lol:

n°106606
djtoz
Posté le 30-05-2002 à 19:58:29  profilanswer
 

Trracer a écrit a écrit :

Voila !
 
---
WinSock 2.0
Connecting to xxx.d2g.com
Connected to xxx.d2g.com Port 21
220 Seticom FTP Server
USER ftpuser
331 Password required for ftpuser.
PASS (hidden)
230 Welcome ftpuser on FTP Server
SYST
215 UNIX Type: L8
REST 100
350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer.
REST 0
350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer.
PWD
257 "/" is current directory.
TYPE A
200 Type set to A.
PASV
227 Entering Passive Mode (217,xxx,xxx,xxx,201,33).
Data Socket Error: Connection refused  




 
ben apparement ton firewall laisse pas passer le mode passif

 

[jfdsdjhfuetppo]--Message édité par djtoz le 30-05-2002 à 19:59:10--[/jfdsdjhfuetppo]

n°106980
Trracer
Posté le 31-05-2002 à 09:35:36  profilanswer
 

Ce qui est etrange c'est que normalement il n'autorise *que* le ftp passif. Bastille-firewall est bien configure a PASSIVEFTP=Y et j'ai ouvert les ports 51000:51999 pour cela, proftpd est configure pour utilise lui aussi ces ports. La franchement j'avoue que je comprend pas tout...

n°107011
Trracer
Posté le 31-05-2002 à 10:48:19  profilanswer
 

Bon voila des infos complementaires. Et un petit resume : avec le ftp en ligne de commande de win2k pas de probleme de connection (je croyais qu'il ne fonctionnait qu'en passif celui-la ?). Avec un client style flashfxp, la connection se coupe au moment de passer en mode passif (PASV).
 
Y'a-t-il quelqu'un qui aurait deja installe et configure un serveur ftp et firewall le tout fonctionnant en mode passif ?  
Toute aide est la bienvenue et je remercie deja ceux qui ont pris le temps de me repondre :jap:
 
---
Les ports ouverts du cote public
--------------------------------
 
51000:51999 192.168.0.254 allow
ftp         192.168.0.254 allow
www         192.168.0.254 allow
 
---
Le fichier proftpd.conf
-----------------------
 
ServerName   "FTP"
ServerType   standalone
DefaultServer   on
 
TimeoutStalled   300
AllowStoreRestart  on
Port    21
Umask    022
 
MaxInstances   30
 
User    nobody
Group    nogroup
 
DeferWelcome   off
 
<Limit MKD RNFR RNTO DELE RMD STOR CHMOD SITE_CHMOD SITE XCUP WRITE XRMD PWD XPWD>
 DenyAll
</Limit>
 
<Directory ~>
  AllowOverwrite  on
</Directory>
 
PersistentPasswd  off
 
<Global>
  DefaultRoot   ~
  AllowOverwrite        no
  UseFtpUsers   on
  AllowForeignAddress  on
  MasqueradeAddress  xxx.d2g.com
  PassivePorts   51000 51999
  MaxClients   3
  MaxClientsPerHost  1
  UseFtpUsers   on
  ServerIdent   on "FTP Server"
  AccessGrantMsg  "Welcome %u on FTP Server"
</Global>
 
---
La config IPchains
------------------
 
Service
bastille-firewall
 
Chain input (policy DENY):
target prot opt source destination  ports
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 3 -> 4
DENY all ------ 224.0.0.0/4 0.0.0.0/0 n/a
DENY all ------ 0.0.0.0/0 192.168.0.0/24 n/a
DENY all ------ 192.168.0.0/24 0.0.0.0/0 n/a
DENY all ------ 0.0.0.0/0 192.168.0.0/24 n/a
DENY all ------ 192.168.0.0/24 0.0.0.0/0 n/a
ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a
ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a
ACCEPT tcp ------ 0.0.0.0/0 192.168.0.200 * -> 22
ACCEPT tcp ------ 0.0.0.0/0 192.168.0.200 * -> 68
ACCEPT tcp ------ 0.0.0.0/0 192.168.0.200 * -> 8443
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> *
ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 51000:51999
ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 21
ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 80
ACCEPT tcp !y---- 0.0.0.0/0 0.0.0.0/0 * -> *
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 3 -> *
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 0 -> *
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 11 -> *
DENY icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> *
DENY udp ------ 0.0.0.0/0 0.0.0.0/0 * -> 2049
ACCEPT udp ------ 195.238.2.21 0.0.0.0/0 53 -> 1024:65535
ACCEPT udp ------ 195.238.2.22 0.0.0.0/0 53 -> 1024:65535
DENY all ------ 0.0.0.0/0 192.168.0.200 n/a
DENY tcp ------ 0.0.0.0/0 192.168.0.200 * -> *
DENY udp ------ 0.0.0.0/0 192.168.0.200 * -> *
ACCEPT tcp ------ 192.168.0.0/24 0.0.0.0/0 * -> *
ACCEPT tcp ------ 192.168.0.0/24 0.0.0.0/0 * -> 53
ACCEPT udp ------ 192.168.0.0/24 0.0.0.0/0 * -> *
ACCEPT udp ------ 192.168.0.0/24 0.0.0.0/0 * -> 53
DENY all ------ 192.168.0.0/24 0.0.0.0/0 n/a
 
Chain forward (policy DENY):
target prot opt source destination ports
DENY tcp ------ 0.0.0.0/0 0.0.0.0/0 137:139 -> *
DENY udp ------ 0.0.0.0/0 0.0.0.0/0 137:139 -> *
MASQ all ------ 192.168.0.0/24 0.0.0.0/0 n/a
 
Chain output (policy ACCEPT):
target prot opt source destination ports
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 3 -> 4
ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> *

n°107263
djtoz
Posté le 31-05-2002 à 20:48:52  profilanswer
 

ben t as pas des logs firewall ?
regarde si un port est bloque
 
perso moi j ai mon firewall avec iptables et un serveur pureftpd qui accepte le passif et l actif
 
iptables -A FORWARD -i ppp0 -d $dmz -p tcp --sport 21 --dport $highport -o eth1 -m state --state ESTABLISHED ! --syn -j ACCEPT
iptables -A FORWARD -i ppp0 -d $dmz -p tcp --sport 20 --dport $highport -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -d $dmz -p tcp --sport $highport --dport $highport -o eth1 -m state --state ESTABLISHED ! --syn -j ACCEPT
 
iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 21 --dport $highport -o ppp0 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 20 --dport $highport -o ppp0 -j ACCEPT
iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 50000:50100 --dport $highport -o ppp0 -m state --state ESTABLISHED -j ACCEPT
 
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.1.2
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 50000:50100 -j DNAT --to 192.168.1.2
 
j ai configurer mon pureftpd pour utiliser la plage 50000:50100 pour les ports
tout marche nikel
 
je charge egalement ces 2 modules iptables :
ip_conntrack_ftp.o
ip_nat_ftp.o

 

[jfdsdjhfuetppo]--Message édité par djtoz le 31-05-2002 à 20:49:51--[/jfdsdjhfuetppo]

n°108472
Trracer
Posté le 03-06-2002 à 19:07:52  profilanswer
 

Bon ça marche toujours pas ! Les ports sont bien ouverts au niveau du firewall masi ça plante toujours au moment de passer en passif...
 
Une question, quand je regarde le iptoip.xml, j'ai bien les redirections pour les ports 20, 21, 80 et 60000:60511. Mais quand je regarde avec ipvsadm le range d'adresse n'est pas la. Je suppose donc que mon probleme de ftp passif vient de la.
Comment donne-t-on un interval d'adresse a ipvsadm pour rediriger la plage entiere vers le serveur ftp (comprend rien au howto d'ipvsadm :/ )?


Message édité par Trracer le 06-03-2002 à 19:08:57
n°108683
Trracer
Posté le 04-06-2002 à 10:06:04  profilanswer
 

Personne ne peut me renseigner sur ipvsadm ?
 
Voila plus d'info "visuelle" :
 
[root@firewall /etc]# cat iptoip.xml  
<config>
 <conf>
  <destination>192.168.0.254</destination>
  <port>21</port>
 </conf>
 <conf>
  <destination>192.168.0.254</destination>
  <port>www</port>
 </conf>
 <conf>
  <destination>192.168.0.254</destination>
  <port>20</port>
 </conf>
 <conf>
  <destination>192.168.0.254</destination>
  <port>60000:60511</port>
 </conf>
          <total>4</total> <!-- total number of configurations below -->
 <iface>ppp0</iface> <!-- external interface -->
 <nocheck>1</nocheck> <!-- disable checks (0|1) -->
 <verbose>0</verbose> <!-- verbose mode (0|1) -->
 <syslog>1</syslog> <!-- logging mode (0|1) -->
 
</config>
 
[root@firewall /root]# ipvsadm -L  
IP Virtual Server version 1.0.6 (size=4096)                    
Prot LocalAddress:Port Scheduler Flags                          
  -> RemoteAddress:Port             Forward Weight ActiveConn InActConn
TCP  adsl-xxx.xxx.xxx.xxx:ftp-data wlc
  -> 192.168.0.254:ftp-data         Masq    1      0          0          
TCP  adsl-xxx.xxx.xxx.xxx:ftp wlc
  -> 192.168.0.254:ftp              Masq    1      0          0          
TCP  adsl-xxx.xxx.xxx.xxx:www wlc
  -> 192.168.0.254:www              Masq    1      0          0          
 
Voila, on retrouve bien les ports ftp, ftp-data et www qui sont routes vers la machine serveur, mais rien concernant les ports 60000:60511 pour le ftp passif... Et je ne trouve pas comment on indique a ipvsadm une "range" de port. Quelqu'un connait ??

n°108841
Trracer
Posté le 04-06-2002 à 14:21:33  profilanswer
 

Personne n'utilise la Mandrake Single Network Firewall ??
 
Bon y'a quoi d'autre comme firewall, parce que la ça commence a me faire ch*** ?! SmoothWall il est comment ??  
J'ai pas envie de passer (perdre) des heures a configurer un linux de base en firewall potable, alors existe-t-il une distrib pre-configure de bonne qualite (et qui arrete de m'emmer*** comme le fait la SNF !!) ?


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  [ftp] Proftpd, firewall et ftp passif => ipvsadm maintenant...

 

Sujets relatifs
Problème de configuration de ProFTPD "I need your help"probleme avec proftpd & liens symboliques
Configurer proftpd pour serveur anonyme tout con sous Mandrake 8.2 ?[HS] Configuration routeur/firewall IOS cisco
kelle distrib pr un firewall ?mini distri floppyfw et configuration de son firewall
[proftpd / debian] un petit pb avec APT...Partage connexion + Firewall ???
firewall bad argument PB qui ...... et ftpPure-ftpd vs ProFtpd ? c'est vrai que pure-ftpd a moins de features ?
Plus de sujets relatifs à : [ftp] Proftpd, firewall et ftp passif => ipvsadm maintenant...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR