Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2796 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Probleme avec ftp derriere une passerelle NAT ...

 
 


Dernière réponse
Sujet : Probleme avec ftp derriere une passerelle NAT ...
tatanka

the_fireball a écrit a écrit :

vi moi aussi je laisse PRESQUE tout sortir pour une machine de mon rezo local. En fait, je bloque le netbios (TCP/UDP 137 138 139) pour que mon Samba et mon windows ne se propage pas sur le net. Mais je te parlais dans le cas d'une entreprise qui ne veut laisser que quelques ports ouvert pour ses employés, dont le ftp. Et la les modules de conntrack sont utiles !  




 
je comprends (et pour le netbios, j'ai pas samba, et j'utilise pu windows ;) )


Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
tatanka

the_fireball a écrit a écrit :

vi moi aussi je laisse PRESQUE tout sortir pour une machine de mon rezo local. En fait, je bloque le netbios (TCP/UDP 137 138 139) pour que mon Samba et mon windows ne se propage pas sur le net. Mais je te parlais dans le cas d'une entreprise qui ne veut laisser que quelques ports ouvert pour ses employés, dont le ftp. Et la les modules de conntrack sont utiles !  




 
je comprends (et pour le netbios, j'ai pas samba, et j'utilise pu windows ;) )

the_fireball vi moi aussi je laisse PRESQUE tout sortir pour une machine de mon rezo local. En fait, je bloque le netbios (TCP/UDP 137 138 139) pour que mon Samba et mon windows ne se propage pas sur le net. Mais je te parlais dans le cas d'une entreprise qui ne veut laisser que quelques ports ouvert pour ses employés, dont le ftp. Et la les modules de conntrack sont utiles !
tatanka

the_fireball a écrit a écrit :

ça marche car tes règles ne doivent être pas etre trop restrictive dans le sens reseau interne -> Internet. Tu as du laisser tout sortir. Par contre, si tu ne laisses sortir depuis l'interne vers le net que le port 21 (et le dns aussi ça aide), ben ces modules vont t'aider car dans le cas du ftp, les communications vont taper dans des ports > 1024 que tu n'as pas explicitement ouverts. Mais grace à ces modules, iptables va pouvoir examiner et savoir que ces paquets qui reviennent ou partent appartiennent à ta connexion ftp et va les laisser passer.  




 
ouai, je laisse tout sortir ...
c'est pas trop dangereux, si ? Si ce qui entre est bien bloquer ça devrait être suffisant dans la majorité des cas, non ?

the_fireball ça marche car tes règles ne doivent être pas etre trop restrictive dans le sens reseau interne -> Internet. Tu as du laisser tout sortir. Par contre, si tu ne laisses sortir depuis l'interne vers le net que le port 21 (et le dns aussi ça aide), ben ces modules vont t'aider car dans le cas du ftp, les communications vont taper dans des ports > 1024 que tu n'as pas explicitement ouverts. Mais grace à ces modules, iptables va pouvoir examiner et savoir que ces paquets qui reviennent ou partent appartiennent à ta connexion ftp et va les laisser passer.
tatanka

the_fireball a écrit a écrit :

ces modules se chargent de gérer les connexions pour des protocoles bien pourris genre ftp. Tu les charges, tu autorises le port 21 et ces modules se chargent d'analyser les paquets et de laisser passer les retours.  




 
j'insiste un peu mais je voudrais comprendre
j'ai activer aucun de ces modules
alors pourquoi ça marche quand même (sous reserve de se connecter en mode passif)

the_fireball ces modules se chargent de gérer les connexions pour des protocoles bien pourris genre ftp. Tu les charges, tu autorises le port 21 et ces modules se chargent d'analyser les paquets et de laisser passer les retours.
tatanka et y-a d'autres modules nommer ip_nat_*
ils servent a quoi ceux-la ?
tatanka c'est bien ça, merci bien
j'ai aussi un probleme avec le dcc send de irc (alors que le chat marche tres bien) et pour trouver des serveur disponible a quake.
j'imagine que c'est le meme probleme ?
comment ça se fait ?
qu'est que font les modules ip_conntrack_* exactement ?
the_fireball ftp -p
ethernal le mode passif, c'est sur ton client ftp que tu dois l'activer.
Sur le client, il faut ouvrir le port 20 en sortie, mais je pense que le ip_conntrack_ftp s'en charge
tatanka

the_fireball a écrit a écrit :

utilises le mode passive et charge le module ip_conntrack_ftp sur ta passerelle  




 
comment on passe en mode passif (en ligne de commande)?

 

[jfdsdjhfuetppo]--Message édité par tatanka--[/jfdsdjhfuetppo]
the_fireball utilises le mode passive et charge le module ip_conntrack_ftp sur ta passerelle
tatanka tout marche nickel quand je me connecte depuis ma passerelle (qui fait du NAT et du firewalling grace à netfilter), mais quand je me connecte depuis un pc client, ça marche pas.
 
je me connecte à un serveur ftp sans probleme, mais quand je fait ls, il me mets :
 

Code :
  1. tatanka@client:~$ ftp ftp.debian.org
  2. Connected to ftp.debian.org.
  3. 220 saens.debian.org FTP server (vsftpd)
  4. Name (ftp.debian.org:tatanka): anonymous
  5. 331 Please specify the password.
  6. Password:
  7. 230 Login successful. Have fun.
  8. Remote system type is UNIX.
  9. Using binary mode to transfer files.
  10. ftp> ls
  11. 500 Illegal PORT command.
  12. ftp: bind: Address already in use
  13. ftp>

 

[jfdsdjhfuetppo]--Message édité par tatanka--[/jfdsdjhfuetppo]

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)