Re: Dnat sur du FTP ....

Top Page

Reply to this message
Author: Lucas Nussbaum
Date:  
To: guilde
Subject: Re: Dnat sur du FTP ....
On Tue, Jul 20, 2004 at 11:43:32AM +0200, Raphael Jacquot <raphael.jacquot@???> wrote:
> Jerome KIEFFER wrote:
> >Salut,
> >
> >j'essaye de faire du FTP a travers le NAT :
> >le serveur FTP est derriere un routeur qui fait de la DNAT. (une regle
> >NAT en prérouting, une regle en forard)
> >routeur:2121 -> serveur:21
> >
> >la connexion se passe bien (authentification) mais les données passant
> >sur un autre port que le 21 sont bloqués.
> >le firewall etant "statefull" ca n'aurait pas du poser de problemes.
>
> la solution la plus simple est d'utiliser le mode passive, qui fait
> alors tout passer sur la meme connection


Pas exactement. En mode passif, le serveur FTP ouvre un autre port et
envoie l'IP et le numéro de port au client, qui s'y connecte alors.
Donc, quand le client est NATé, ca fonctionne parfaitement. (En mode
actif, c'est le client qui ouvre un autre port, et le serveur s'y
connecte : ca ne marche pas si le client est NATé).

Le fait que le firewall soit "stateful" ne règle pas le problème. Par
contre, certains firewalls permettent d'utiliser des modules spécifiques
à un protocole pour donner une "connaissance" du protocole au firewall,
et permettre de faire passer correctement les protocoles chiants comme
FTP ou IRC (pour le DCC). Mais ton cas est qd meme tres spécifique,
puisque le probleme n'est pas au niveau du client mais du serveur, donc
je ne sais pas si ca peut t'aider.
--
| Lucas Nussbaum
| lucas@???    lnu@???    GPG: 1024D/023B3F4F |
| jabber: lucas@???   http://www.lucas-nussbaum.net |
| fingerprint: 075D 010B 80C3 AC68 BD4F B328 DA19 6237 023B 3F4F |