[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[linux] Prob iptables et FTP



J'ai un problème avec iptables et FTP.

La topologie est la suivante:

       || dialup (isdn)
    +--------+
    |cisco7xx|
    +--------+
       |`192.168.1.2
       |
       |.192.168.1.1 (eth1)
    +------+
    | fire |
    | wall |
    +------+
       |`192.168.0.254 (eth0)
       |
     _/-\__
    |switch|
    \------/
     ||||||
      LAN  (192.168.0.0/24)

Le firewall est une Linux 2.4 (SuSE 7.2).

Je configure le firewall avec iptables (vraiment chouette avec le --state :)),
mais j'arrive pas à faire passer FTP (meme pas l'FTP passif à partir d'un IE5).

La connexion s'établit (évidemment, port ftp) mais chaque commande ne revient
pas. C'était comment déjà ?
- en ftp "normal", c'est le serveur FTP qui ouvre une nouvelle connexion vers
  le client: c'est le port source du serveur ou bien le port destination du
  client qui est le ftp-data (20) ?
- en ftp "passif", c'est comment alors ? c'est le client qui ouvre une 2ème
  connexion vers le serveur FTP, mais sur quel port ?

Et avec le NAT ? Le kernel fait tout de lui-même ?
Je fais un DNAT pour LAN -> world (sur l'IP du firewall sur le réseau
firewall<->routeur, donc 192.168.1.1)... aucune idée, ca marchait pas sans
(pourtant le routeur fait aussi du NAT).

J'ai chargé les mods ip_conntrack et ip_conntrack_ftp et j'ai une règle qui
laisse passer tout ce qui est RELATED,ESTABLISHED:
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Mais ca semble pas marcher pour FTP... :\

--
  -o) / Pascal Bleser                   ATOS Origin|
  /\\ \ e-Business Platform         Aachen, Germany|
 _\_v  \<guru@linuxbe.org> <pbleser@atosorigin.com>|
---------------------------------------------------|
Jesus saves, but Buddha makes incremental backups  :
---------------------------------------------------'

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]