[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Prob iptables et FTP



Slt Pascal,

si tu acceptes les nouvelles connexions en plus ca marche pas non plus ?

	iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED,NEW -j
ACCEPT

Pour du PAT:
 
	iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE  par ex

Pour du DNAT:

	iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 --port 8080  -j DNAT
--to 5.6.7.8:80    par ex

Pour du SNAT:
	
	iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 1.2.3.4
	iptables -t nat -A POSTROUTING -s 1.2.3.0/24 -j SNAT --to
5.6.7.2-5.6.7.30


Voir: netfilter.samba.org


On 10 Aug 2001 11:57:43 +0200, Pascal Bleser wrote:
> J'ai un problème avec iptables et FTP.
> 
> La topologie est la suivante:
> 
>        || dialup (isdn)
>     +--------+
>     |cisco7xx|
>     +--------+
>        |`192.168.1.2
>        |
>        |.192.168.1.1 (eth1)
>     +------+
>     | fire |
>     | wall |
>     +------+
>        |`192.168.0.254 (eth0)
>        |
>      _/-\__
>     |switch|
>     \------/
>      ||||||
>       LAN  (192.168.0.0/24)
> 
> Le firewall est une Linux 2.4 (SuSE 7.2).
> 
> Je configure le firewall avec iptables (vraiment chouette avec le --state :)),
> mais j'arrive pas à faire passer FTP (meme pas l'FTP passif à partir d'un IE5).
> 
> La connexion s'établit (évidemment, port ftp) mais chaque commande ne revient
> pas. C'était comment déjà ?
> - en ftp "normal", c'est le serveur FTP qui ouvre une nouvelle connexion vers
>   le client: c'est le port source du serveur ou bien le port destination du
>   client qui est le ftp-data (20) ?
> - en ftp "passif", c'est comment alors ? c'est le client qui ouvre une 2ème
>   connexion vers le serveur FTP, mais sur quel port ?
> 
> Et avec le NAT ? Le kernel fait tout de lui-même ?
> Je fais un DNAT pour LAN -> world (sur l'IP du firewall sur le réseau
> firewall<->routeur, donc 192.168.1.1)... aucune idée, ca marchait pas sans
> (pourtant le routeur fait aussi du NAT).
> 
> J'ai chargé les mods ip_conntrack et ip_conntrack_ftp et j'ai une règle qui
> laisse passer tout ce qui est RELATED,ESTABLISHED:
> iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
> 
> Mais ca semble pas marcher pour FTP... :\
> 
> --
>   -o) / Pascal Bleser                   ATOS Origin|
>   /\\ \ e-Business Platform         Aachen, Germany|
>  _\_v  \<guru@linuxbe.org> <pbleser@atosorigin.com>|
> ---------------------------------------------------|
> Jesus saves, but Buddha makes incremental backups  :
> ---------------------------------------------------'
> 
> [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> [ le type de demande...                                            ]
> [ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
> [ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
> [ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]
-- 
Lionel Gavage
Network Engineer (SEGI)
Email: lgavage@ulg.ac.be    Tél: +32-4-3664845
                            Fax: +32-4-3662920
Bat. B26 SEGI


[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]