J'essaye de faire tourner un FTP a la maison et j'ai recherche pas mal d'articles qui m'avaient donnes des reponses, enfin je le croyais.
 
Bref, le serveur c Bulletproof aui tourne sous un pc sous windows, et ecoute sur le port 21. G configure Bulletproof pour du passif, et je lui est indique comme plage de ports 5005-5010.
 
Sur le serveur, un PC sous Debian avec Iptables (que j'apprend).
G redirige les ports 21 et 5005-50010 vers mon serveur.
 
Je pensais cela suffisant, mais le fait est que meme le debut de connection ne se fait pas sur le port 21, comme si le forward ne marchais pas!
 
Je mets les regles au cas ou il y aurait erreur, mais la je vois vraiment pas le pb...
 
#Pour laisser passer le FTP
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 5000 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 5005:5010 -j ACCEPT
 
#Redirection FTP Server
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5000 -j DNAT --to 192.168.0.16:21
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5005:5010 -j DNAT --to 192.168.0.16
 
 
 
Cependant, je na

essaye aussi de router le port 20

je ne comprends pas. Tu as ouvert et redirigé les ports 5000 à 5010 mais où est le port 21 dans tout ça !??
 
et d'ailleurs pourquoi ouvrir et forwarder 5000 à 5010 !??

Nan regarde bien je forward le 5000 du serveur vers le le 21 de mon pc ou torune le serveur.
Ensuite je forward les autres pq comme c en passif, ben le cleint potentiel se verra dire par le serveur ftp de se connecter sur le port 5005 a 5010. G donc forwarder ces ports aussi.
 

Oue mais avec quel port en entree ?
 
Le truc c que g un ftp qui tourne sur le nat aussi...

pourquoi se mettre en passif ?
 
j'utilise bpftp aussi derrière un routeur/firewall sous linux (sous ipchain) sans être en passif

Ben en actif ca marche pas non plus!
 
Le truc c que il n'y a meme pas d'inititation de connection et je pense que mes regles de firewall sont bonnes...
IPchains est different de Iptables c ptet pour ca que tu as mal "lu" mes regles tout a l'heure ;-)
 
En fait c d'un specialiste Iptables que g besoins...

donc tu as deux serveurs ftp au total ?  
 
hmm, le truc qu'il faut que tu fasses très simplement, c'est sur G6 tu définis le port d'écoute comme étant le port 5000, c'est beaucoup + simple et t'as plus besoin de faire du port 5000 qui devient du port 21

 
 
Essaye dans la catégorie consacrée à linux alors parce qu'ici c'est plutôt windows

Oue mais c 2 serveurs qui sont pas sur la meme machine hein...
 
Donc le ftp du nat ecoute sur 21 (normal quoi)  et le ftp de mon PC sur 21 chez moi, mais 5000 en entree sur le nat, d'ou le forwardign 5000->21
 
OK ?

oui oui t'inquiete j'avais tout pigé ça (j'ai déjà eu l'occasion de m'amuser avec les multi-ftp sur une seule ip avec du NAT pour balancer ça sur les différents pc du LAN)
 
bon, ske je me demande c'est l'intéret de faire du 5000=>21
autant faire du 5000=>5000 et régler ton ftp pour ne plus etre sur le 21 mais sur le 5000

Ca évite une configuration de plus aux clients.

pour les lients c'est tjrs pareil, vu que son ftp n'est accessible que de l'extérieur je pense donc il font quand meme :5000 pour y accéder

Oué ca c une question d'affinage ensuite, mas ca permet aussi au rézo local d'acceder au ftp de mon pc sur le port habituel...

Le passif est bien plus sécure pour le serveur ...
 
Et je suis en passif avec la dernière version de bulletproof en ne forwardant que le port 21 ...

Non, ils font une connexion sur le port 21, ensuite le serveur leur demande de se connecter sur un des ports libres parmi la plage de ports choisie (5005 à 5010), qui sera le port de données.
 
Par exemple, lorsque je me connecte sur le serveur ftp de Wanadoo, voici ce qui transite par le port de controle :
 

non dans du passif la requete du client se fait en 21 puis le client renvoie lui meme des requetes sur 5005/10 ce qui permet de ne pas router les port 5005/10 sur le server et qui fait ke l on ne peu pas faire de passif si le client a un firewall

warf, ça devient du haut niveau là, j'en connais pas autant hélas
 
vous avez appris tout ça où ?

DTC

apparemment ya des tas de trucs DMC

Moi je c comment sa marche, mé ca marche pas ché moi    

   
http://www.dslreports.com/faq/2471

c.est.la.fete.dans.toncul.net

ftp://ftp.rfc-editor.org/in-notes/rfc959.txt
 
Le mode passif est initié par la commande PASV :

Le serveur attend une connexion au lieu de l'initier. Il faut donc ouvrir les ports.

G tout fais ça mais ca marche toujours pas, chui pommé sérieux! Y a mm pas de conection sur le 21 mais c quoi ce bordel !!!

Juste une question, avec le client tu te connectes bien sur le port 5000 ?

fpt c'est assez complexe
en GROS tu dois ouvrir le port 20 et donc faire de la redirection de port dessus 20 -> 20  
Mais tu dois aussi ouvrir tes ports hauts (normalement ce sont les ports de 1024-65535). C'est comme ca que fonctionne le ftp passif.
La connexion et l'echange du login/pass se deroule sur le port 20 mais l'echange des données se fait en dynamique sur les ports hauts (1024-65535).  
 
 
iptables -A ext-lo -p tcp --sport 1024:65535 --dport 1024:65535 \
   -m state --state ESTABLISHED -j ACCEPT
iptables -A ext-lo -p tcp --sport 1024:65535 --dport 1024:65535 \
   -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
regarde ce thread  
http://lists.debian.org/debian-use [...] 01041.html

Euh oue quqnd meme :-D

FTP g lu pas mal et je sais bien comment ca fonctionne, mais la regle que tu me donnes la ca marche pas c sur...  
 
Bref je resume mon cas:
- G un pc en 192.168.0.16 ou tourne un serveur FTP ecoutant sur le port 21.
- G un gateway en 192.168.0.1 ou tourne iptables.
 
Ce firewall laisse tout passer en sortie. G redirige le port 192.168.0.1:5000 --> 192.168.0.16:21
Comme en actif c le serveur qui se connecte apres la connection initiale du client sur le port 21, y devrait pas avoir de pb comme tout est accepte en sortie...
 
Comme ca marchait pas, g indique au ftp aue si le client se fou en passif, de lui dire de se connecter sur un port entre 5005 et 5010, d'ou la redirection de ces ports de 192.168.0.1 vers 192.168.0.16.
 
Sauf que la meme la connection initiale sur port 21 semble ne pas marcher. G mis ip_nat_ftp et ip_conntrack_ftp mais rien.
 
Voila ou j'en suis, si vous voulez je vous sors un iptables -v -L  

1. Essaie de le faire marcher en mode actif pour commencer.
2. Pourquoi tu ne veux pas que les clients se connectent sur le port 21 ?

2. Pke ya déjà un server FTP sur le gateway

Ah, OK, gros bazard quoi.
Bon, alors bonne chance.
Nan, sérieusement comme disait ShonGail, va voir sur OSA.

rhaaa, mais tt le monde food ma parole

Bon ayé ça marche, pour qui pourquoi je sais pas, g rien changé de puis hier en tout cas c certains.
 
L'informatique a ses raisons que la raison ignore parfois...