Author: sCALP Date: To: guilde Subject: Re: serveur ftp derriere un firewall
forward oui, mais il faut bien lui specifier koi et ou forwarder (j'ai
plusieurs serveur en DMZ, et plusieurs IP entrantes sur mon firewall)
bref, je m'en sors actuellement avec du ftp ACTIF avec un gros forward des
ports 20 et 21.....
pour le PASSIF, il faudra que je m'y repenche....
je suis vraiment preneur de toutes vos solutions....
(le coup des 'state' avec iptables c vraiment la folie, on peut regler au
poil pres....)
(je suis passe au patch-o-matic, c encore plus puissant (et encore plus
complexe))
sCALP
>
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>> Bonjour, je desespere de faire tourner un serveur ftp derriere mon
>> firewall....
>> en fait, mon serveur FTP est dans ma DMZ, et je n'arrive pas a le faire
>> marcher.....
>> sur mon firewall, j'ai redirige le port 21 vers mon serveur ftp interne (via >> "iptables -j DNAT") mais je ne sais pas comment specifier une fenetre de
>> ports (genre 63000-63100) a ouvrir entre mon firewall et mon serveur FTP. >> sous wu-ftpd et proftpd, je specifie bien les options pour les passive ports >> a utiliser pourtant....
>> (j'ai patche wu-ftpd pour le pb des passive options)
>> quelqu'un pourrait t'il m'aider ?
>> voici mes lignes de iptables sur mon firewall.... :
>>
>> iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d $IPLX --dport 21 -j >> DNAT --to-destination 10.0.0.4:21
>> iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp -d $IPLX --dport
>> 63000:63100 -j DNAT --to-destination 10.0.0.4:21
>> iptables -t nat -A POSTROUTING -p tcp -m tcp --sport 63000:63100 -j
>> SNAT --to-source $IPLX:63000-63100
>> iptables -t filter -A FORWARD -i eth0 -o eth1 -j ACCEPT
>> iptables -t filter -A FORWARD -i eth1 -o eth0 -j ACCEPT
>> (pour les 2 dernieres lignes, j'ai eu la flemme, mais j'ai quand meme
>> securise le coup...)
>>
>> merci a vous
>> sCALP
>>
>>
>>