 |
||
| ||
| |||||
FORUM HardWare.fr
Linux et OS Alternatifs
[ftp] Proftpd, firewall et ftp passif => ipvsadm maintenant...| Dernière réponse | |
|---|---|
| Sujet : [ftp] Proftpd, firewall et ftp passif => ipvsadm maintenant... | |
| Trracer | Personne n'utilise la Mandrake Single Network Firewall ??
Bon y'a quoi d'autre comme firewall, parce que la ça commence a me faire ch*** ?! SmoothWall il est comment ?? J'ai pas envie de passer (perdre) des heures a configurer un linux de base en firewall potable, alors existe-t-il une distrib pre-configure de bonne qualite (et qui arrete de m'emmer*** comme le fait la SNF !!) ? |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| Trracer | Personne n'utilise la Mandrake Single Network Firewall ??
Bon y'a quoi d'autre comme firewall, parce que la ça commence a me faire ch*** ?! SmoothWall il est comment ?? J'ai pas envie de passer (perdre) des heures a configurer un linux de base en firewall potable, alors existe-t-il une distrib pre-configure de bonne qualite (et qui arrete de m'emmer*** comme le fait la SNF !!) ? |
| Trracer | Personne ne peut me renseigner sur ipvsadm ?
Voila plus d'info "visuelle" : [root@firewall /etc]# cat iptoip.xml <config> <conf> <destination>192.168.0.254</destination> <port>21</port> </conf> <conf> <destination>192.168.0.254</destination> <port>www</port> </conf> <conf> <destination>192.168.0.254</destination> <port>20</port> </conf> <conf> <destination>192.168.0.254</destination> <port>60000:60511</port> </conf> <total>4</total> <!-- total number of configurations below --> <iface>ppp0</iface> <!-- external interface --> <nocheck>1</nocheck> <!-- disable checks (0|1) --> <verbose>0</verbose> <!-- verbose mode (0|1) --> <syslog>1</syslog> <!-- logging mode (0|1) --> </config> [root@firewall /root]# ipvsadm -L IP Virtual Server version 1.0.6 (size=4096) Prot LocalAddress:Port Scheduler Flags -> RemoteAddress:Port Forward Weight ActiveConn InActConn TCP adsl-xxx.xxx.xxx.xxx:ftp-data wlc -> 192.168.0.254:ftp-data Masq 1 0 0 TCP adsl-xxx.xxx.xxx.xxx:ftp wlc -> 192.168.0.254:ftp Masq 1 0 0 TCP adsl-xxx.xxx.xxx.xxx:www wlc -> 192.168.0.254:www Masq 1 0 0 Voila, on retrouve bien les ports ftp, ftp-data et www qui sont routes vers la machine serveur, mais rien concernant les ports 60000:60511 pour le ftp passif... Et je ne trouve pas comment on indique a ipvsadm une "range" de port. Quelqu'un connait ?? |
| Trracer | Bon ça marche toujours pas ! Les ports sont bien ouverts au niveau du firewall masi ça plante toujours au moment de passer en passif...
Une question, quand je regarde le iptoip.xml, j'ai bien les redirections pour les ports 20, 21, 80 et 60000:60511. Mais quand je regarde avec ipvsadm le range d'adresse n'est pas la. Je suppose donc que mon probleme de ftp passif vient de la. Comment donne-t-on un interval d'adresse a ipvsadm pour rediriger la plage entiere vers le serveur ftp (comprend rien au howto d'ipvsadm :/ )? |
| djtoz | ben t as pas des logs firewall ?
regarde si un port est bloque perso moi j ai mon firewall avec iptables et un serveur pureftpd qui accepte le passif et l actif iptables -A FORWARD -i ppp0 -d $dmz -p tcp --sport 21 --dport $highport -o eth1 -m state --state ESTABLISHED ! --syn -j ACCEPT iptables -A FORWARD -i ppp0 -d $dmz -p tcp --sport 20 --dport $highport -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ppp0 -d $dmz -p tcp --sport $highport --dport $highport -o eth1 -m state --state ESTABLISHED ! --syn -j ACCEPT iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 21 --dport $highport -o ppp0 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 20 --dport $highport -o ppp0 -j ACCEPT iptables -A FORWARD -i eth1 -s $dmz -p tcp --sport 50000:50100 --dport $highport -o ppp0 -m state --state ESTABLISHED -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 21 -j DNAT --to 192.168.1.2 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 50000:50100 -j DNAT --to 192.168.1.2 j ai configurer mon pureftpd pour utiliser la plage 50000:50100 pour les ports tout marche nikel je charge egalement ces 2 modules iptables : ip_conntrack_ftp.o ip_nat_ftp.o [jfdsdjhfuetppo]--Message édité par djtoz le 31-05-2002 à 20:49:51--[/jfdsdjhfuetppo] |
| Trracer | Bon voila des infos complementaires. Et un petit resume : avec le ftp en ligne de commande de win2k pas de probleme de connection (je croyais qu'il ne fonctionnait qu'en passif celui-la ?). Avec un client style flashfxp, la connection se coupe au moment de passer en mode passif (PASV).
Y'a-t-il quelqu'un qui aurait deja installe et configure un serveur ftp et firewall le tout fonctionnant en mode passif ? Toute aide est la bienvenue et je remercie deja ceux qui ont pris le temps de me repondre :jap: --- Les ports ouverts du cote public -------------------------------- 51000:51999 192.168.0.254 allow ftp 192.168.0.254 allow www 192.168.0.254 allow --- Le fichier proftpd.conf ----------------------- ServerName "FTP" ServerType standalone DefaultServer on TimeoutStalled 300 AllowStoreRestart on Port 21 Umask 022 MaxInstances 30 User nobody Group nogroup DeferWelcome off <Limit MKD RNFR RNTO DELE RMD STOR CHMOD SITE_CHMOD SITE XCUP WRITE XRMD PWD XPWD> DenyAll </Limit> <Directory ~> AllowOverwrite on </Directory> PersistentPasswd off <Global> DefaultRoot ~ AllowOverwrite no UseFtpUsers on AllowForeignAddress on MasqueradeAddress xxx.d2g.com PassivePorts 51000 51999 MaxClients 3 MaxClientsPerHost 1 UseFtpUsers on ServerIdent on "FTP Server" AccessGrantMsg "Welcome %u on FTP Server" </Global> --- La config IPchains ------------------ Service bastille-firewall Chain input (policy DENY): target prot opt source destination ports ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 3 -> 4 DENY all ------ 224.0.0.0/4 0.0.0.0/0 n/a DENY all ------ 0.0.0.0/0 192.168.0.0/24 n/a DENY all ------ 192.168.0.0/24 0.0.0.0/0 n/a DENY all ------ 0.0.0.0/0 192.168.0.0/24 n/a DENY all ------ 192.168.0.0/24 0.0.0.0/0 n/a ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT tcp ------ 0.0.0.0/0 192.168.0.200 * -> 22 ACCEPT tcp ------ 0.0.0.0/0 192.168.0.200 * -> 68 ACCEPT tcp ------ 0.0.0.0/0 192.168.0.200 * -> 8443 ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> * ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 51000:51999 ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 21 ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 80 ACCEPT tcp !y---- 0.0.0.0/0 0.0.0.0/0 * -> * ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 3 -> * ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 0 -> * ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 11 -> * DENY icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> * DENY udp ------ 0.0.0.0/0 0.0.0.0/0 * -> 2049 ACCEPT udp ------ 195.238.2.21 0.0.0.0/0 53 -> 1024:65535 ACCEPT udp ------ 195.238.2.22 0.0.0.0/0 53 -> 1024:65535 DENY all ------ 0.0.0.0/0 192.168.0.200 n/a DENY tcp ------ 0.0.0.0/0 192.168.0.200 * -> * DENY udp ------ 0.0.0.0/0 192.168.0.200 * -> * ACCEPT tcp ------ 192.168.0.0/24 0.0.0.0/0 * -> * ACCEPT tcp ------ 192.168.0.0/24 0.0.0.0/0 * -> 53 ACCEPT udp ------ 192.168.0.0/24 0.0.0.0/0 * -> * ACCEPT udp ------ 192.168.0.0/24 0.0.0.0/0 * -> 53 DENY all ------ 192.168.0.0/24 0.0.0.0/0 n/a Chain forward (policy DENY): target prot opt source destination ports DENY tcp ------ 0.0.0.0/0 0.0.0.0/0 137:139 -> * DENY udp ------ 0.0.0.0/0 0.0.0.0/0 137:139 -> * MASQ all ------ 192.168.0.0/24 0.0.0.0/0 n/a Chain output (policy ACCEPT): target prot opt source destination ports ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 3 -> 4 ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> * |
| Trracer | Ce qui est etrange c'est que normalement il n'autorise *que* le ftp passif. Bastille-firewall est bien configure a PASSIVEFTP=Y et j'ai ouvert les ports 51000:51999 pour cela, proftpd est configure pour utilise lui aussi ces ports. La franchement j'avoue que je comprend pas tout... |
| djtoz |
[jfdsdjhfuetppo]--Message édité par djtoz le 30-05-2002 à 19:59:10--[/jfdsdjhfuetppo] |
| Trracer | oui, oui... Avec le bol que j'ai en ce moment je serais fichue de me le faire tagger, alors bon je cache :lol: |
| Aiua | le 217.xxx.xxx.xxx c bien ton ip ? |
| Trracer | Voila !
--- WinSock 2.0 Connecting to xxx.d2g.com Connected to xxx.d2g.com Port 21 220 Seticom FTP Server USER ftpuser 331 Password required for ftpuser. PASS (hidden) 230 Welcome ftpuser on FTP Server SYST 215 UNIX Type: L8 REST 100 350 Restarting at 100. Send STORE or RETRIEVE to initiate transfer. REST 0 350 Restarting at 0. Send STORE or RETRIEVE to initiate transfer. PWD 257 "/" is current directory. TYPE A 200 Type set to A. PASV 227 Entering Passive Mode (217,xxx,xxx,xxx,201,33). Data Socket Error: Connection refused |
| Aiua | si tu mettais le log de flashfxp ça aiderait ;) |
| Trracer | Voila ça marche, enfin presque :/
C'est tres bizarre : avec la commande FTP d'un poste win2000 je me connecte et je peut uploader/downloader sans probleme. Mais avec un client FTP, FlashFXP pour ne pas le nommer, il se connecte et juste apres le passage en mode passif (PASV), j'ai connection refusé ! Une idee du pourquoi du comment ? parce que là je vois pas du tout de quoi ça peut venir... :jap: |
| Trracer | Oui, j'ai cree une entree avec les ports 51000:51999 et j'ai parametre le proftpd.conf en consequence... mais y'a toujours rien qui passe.
Mais bon je viens de voir qu'il y avait un autre probleme (meme le www ne passe pas !). Donc doit-y avoir un probleme au niveau des regles. Je vais relance bastille-linux, histoire de voir... ping> Mandrake SNF 7.2 (bastille-linux, ipchains) merci :jap: |
| djtoz | actuellement au niveau de ton firewall, tu a surement une regle de forward qui renvoie le port 21(command) sur ton serveur FTP
si tu veut accepter des connections en modes passif, il faut que tu forward egalement une plage de port >1024 il faut donc aussi configurer ton serveur FTP pour lui dire quels ports utiliser lors de connections passive oila :p |
| PinG | c'est certainement un problème de EPSV/EPRT... quel firewall? testé avec pure-ftpd? |
| Aiua |
je crois que le monsieur il arrive pas à accepter les connexions en passive mode derriere son fw
|
| PinG | rien compris à ce que tu marmones |
| Trracer | Voila, j'ai mon firewall (mandrake SNF 7.2) qui est par defaut configurer en ftp passif, j'ai ouvert les port ftp et je forward vers un serveur ftp (proftpd).
Seulement voila, apparemment le mode passif interdit la connection au travers du firewall. J'ai lu la faq de proftpd et leur solution c'est de passer en mode actif !!! Y'a pas une autre solution que celle-la ? Comment peut-on faire un serveur ftp passif avec firewall alors ? Merci :jap: Nouvelle question en bas du topic ! |
