Bonjour,
Je m'arrache les cheveux pour publier mon FTP avec HAProxy, et j'aurais besoin d'un peu d'aide.
Pour commencer, le besoin :
Je veux n'avoir qu'une seule IP publique qui reçoit les connexions sur le port 21, et router les clients en fonction du nom DNS.
La config : (ip fictives mais en gros on y est)
10.10.10.1 : HAProxy 1.5 sous Linux Debian 7.5 (qui fait déjà ce que je veux pour http et https sans problème).
10.10.10.2 : ProFTP sous Linux Debian 7.5
10.10.10.3 : ProFTP sous Linux Debian 7.5
10.10.10.254 : IP privée Firewall
1.2.3.4 : IP publique Firewall
Configuration HAProxy :
Code :
- frontend ftp
- bind *:21 transparent
- mode tcp
- option tcplog
- acl host_ftp1 hdr(host) -i ftp1.domaine.tld
- acl host_ftp2 hdr(host) -i ftp2.domaine.tld
- use_backend ftp1 if host_ftp1
- use_backend ftp2 if host_ftp2
- backend ftp1
- server node1 10.10.10.2:21 check
- backend ftp2
- server node1 10.10.10.3:21 check
|
Le problème :
Quand on se connecte, on a une réponse "Commande PORT interdite" (en mode actif, le mode passif utilise trop de ports à ouvrir dans le firewall).
De ce que j'ai compris de mes lectures, il faut configurer le NAT pour forwarder les demandes du serveur au client et du client au serveur.
C'est là que je coince avec iptables.
Un coup de main ?
---------------
The only thing necessary for the triumph of evil is for good people to do nothing.