Re: Problème de serveur ftp derrière un firewall

[Marc SCHAEFER]

On Mon, 9 Apr 2001, Cedric Rochat wrote:

> problème, mais depuis l'extérieur, j'obtiens l'erreur 500 (illegal port 
> command). Dans les FAQ de Wu-ftpd, ils disent que cette erreur est due à la 

En règle générale il peut être intéressant de capturer l'entier du
dialogue TCP (par strace, ou par tcpdump/dumptcplink) pour voir
exactement ce qu'il se passe entre le client et le serveurs.

Autre généralité: un mode du fonctionne de FTP nécessite une connexion à
l'envers du serveur au client: le client donne donc SON adresse IP
au serveur. S'il y a masquerading, cela peut ne pas être la bonne adresse.

On utilise alors le protocole FTP passif (enfin je crois, je mélange
toujours ces deux termes, cf les archives de linux-leman). Ou alors un
module de masquerading particulier (encore que dans le cas de FTP normal,
un tel module n'existe que pour le *client* à ma connaissance).



--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.

Problème de serveur ftp derrière un firewall

[Cedric Rochat]

Hello !!

J'ai toujours un problème avec mon serveur ftp (Wu-ftpd 2.2.4 Beta 18) :

il se trouve derrière un firewall ipchains, sur lequel j'ai mis les règles 
suivantes pour autoriser une connexion entrante sur un serveur ftp interne :

#
# Requetes client FTP entrantes
 
/sbin/ipchains -A input -i $EXT_INTERFACE -p tcp \
-s $ANY $UNPRIV_PORTS -d $IP_EXTERNE 21 -j ACCEPT

/sbin/ipchains -A output -i $EXT_INTERFACE -p tcp \
! -y -s $IP_EXTERNE 21 -d $ANY $UNPRIV_PORTS -j ACCEPT
 
# Reponses mode port canal de donnees
 
/sbin/ipchains -A output -i $EXT_INTERFACE -p tcp  \
-s $IP_EXTERNE 20 -d $ANY $UNPRIV_PORTS -j ACCEPT

/sbin/ipchains -A input -i $EXT_INTERFACE -p tcp \
! -y -s $IP_EXTERNE 20 -d $ANY $UNPRIV_PORTS -j ACCEPT
 
# Reponses mode canal de donnees passif
 
/sbin/ipchains -A input -i $EXT_INTERFACE -p tcp -s $ANY \
$UNPRIV_PORTS -d $IP_EXTERNE $UNPRIV_PORTS -j ACCEPT

/sbin/ipchains -A output -i $EXT_INTERFACE -p tcp ! -y \
-s $IP_EXTERNE $UNPRIV_PORTS -d $ANY $UNPRIV_PORTS \
-j ACCEPT
#

J'y ai aussi mis des règles pour le ftp sortant :

#
/sbin/ipchains -A output -i $EXT_INTERFACE -p tcp \
-s $IP_EXTERNE $UNPRIV_PORTS -d $ANY 21 -j ACCEPT

/sbin/ipchains -A input -i $EXT_INTERFACE -p tcp \
! -y -s $ANY 21 -d $IP_EXTERNE $UNPRIV_PORTS \
-j ACCEPT

/sbin/ipchains -A input -i $EXT_INTERFACE -p tcp \
-s $ANY 20 -d $IP_EXTERNE $UNPRIV_PORTS \
-j ACCEPT

/sbin/ipchains -A output -i $EXT_INTERFACE -p tcp \
! -y -s $IP_EXTERNE $UNPRIV_PORTS -d $ANY 20 \
-j ACCEPT
#

Pour les redirections de ports avec le protocole tcp, j'utilise rinetd :

#Règles présentes dans /etc/rinetd.conf*
10.224.1.1 20 172.16.3.43 20 #IP externe firewall sur IP ftp
10.224.1.1 21 172.16.3.43 21 #IP externe firewall sur IP ftp
#

Si je me connecte au serveur ftp depuis le LAN, la connexion se fait sans 
problème, mais depuis l'extérieur, j'obtiens l'erreur 500 (illegal port 
command). Dans les FAQ de Wu-ftpd, ils disent que cette erreur est due à la 
présence de "tcp6" au lieur de "tcp" dans inetd.conf, ce qui n'est absolument 
pas mon cas. Par contre, dans les FAQ de proftpd, il faudrait ajouter "allow 
ForreignAddress" dans son fichier de config.

Cette option étant inconnue de Wu-ftpd, comment puis-je faire pour autoriser 
la connexion depuis une adresse IP inconnue du serveur ?

Merci, et désolé pour la tartine !!

**
Cédric Rochat
Ch. du Commonet 4
1341 L'Orient
mail: [EMAIL PROTECTED]
==
Cédric Rochat
Ch. du Tyrol 10
1450 Ste-Croix
mail: [EMAIL PROTECTED]
==
ICQ: 70815513
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.