Redirection de port ftp e local

gilles974 · Février 21, 2016, 12:13pm

bonjour

en venant du net, j’arrive bien à me connecter sur mon ftp (passif) qui en sur ma DMZ
en passant par le port 210 et faisant une redirection sur le port 21 en local

Régle en venant du net et passant par le port 210, qui marche

mais en local negatif impossible de se connecter en passant par le port 210

En faisant cette regle qui passe directement par le port 21 ça marche

comment aller sur le port 21 en passant par le port 210 en local ??
est je oublié une règle dans shorewall ??

merci a+

anonyme2 · Février 21, 2016, 12:14pm

tu es derrière une box?

secuip · Février 21, 2016, 12:14pm

Dans l’hypothèse où :

ton PC client et le FREENAS font parti du même réseau local
ton shorewall (pare-feu) protège et NAT des flux en provenance de l’Internet,

lorsque tu accède à ton FREENAS depuis le réseau local tes requêtes ne transitent pas par le pare-feu effectuant le natage.

Si tu veux absolument accéder au FTP via le port 210 depuis ton pc en local, il faut qu’un équipement effectue la translation de port (PAT) pour changer ton port destination 210 en 21 car ton serveur FREENAS écoute sur le port 21.

Tu peux donc par exemple créer une règles Iptables sur ton FREENAS stipulant :

natter les requêtes ayant pour destination le port 210 en remplaçant le port destination par 21 ce qui donne :
iptables -t nat -A PREROUTING -p tcp --dport 210 -j REDIRECT --to-port 21

As-tu vraiment besoin d’utiliser le port 210 ?

gilles974 · Février 21, 2016, 12:14pm

bonjour

merci pour vos réponses. J’ai réussi à régler le problème
pour ceux qui ont shorewall voici la solution
dans la section net -> dmz mettre les lignes suivantes

a+

PascalHambourg · Février 21, 2016, 12:14pm

Je ne vois aucune différence avec les règles du premier message.

jb1 · Février 21, 2016, 12:14pm

Bonjour,
serait-il possible de connaitre la marque de la Box?
un exemple, chez moi LB Sagem, j’ai des informations à indiquées dans la Box
A+
JB1

gilles974 · Février 21, 2016, 12:14pm

avec toutes mes excuses j’ai fait une erreur

rien n’est réglé, sauf la partie NET -> DMZ

la partie LOC -> DMZ est toujours en carafe. Seul l’accès par le port 21 marche
mais négatif par le port 210

la box est sfr dedans j’ai juste ouvert le port 210 dans la partie NAT

PascalHambourg · Février 21, 2016, 12:14pm

Par “en local” tu veux bien dire depuis la machine sur laquelle shorewall est installé ?
Pourquoi vouloir accéder au NAS par le port 210 en local ?

Je ne connais pas la syntaxe de shorewall, mais si tu fournis le jeu de règles iptables correspondant (sortie de iptables-save) je pourrai regarder ce qui ne va pas.

gilles974 · Février 21, 2016, 12:14pm

a l’heure actuelle, j’accède au ftp en local par le port 21

c’est accéder, à partir de mon PC (192.168.10.5) à mon NAS qui est sur le réseau 192.168.30.10

pour connaissance personnelle je voudrais essayer de comprendre pourquoi
je n’y arrive pas par le port 210 à partir de mon PC

iptables-save.txt (25 KB)

PascalHambourg · Février 21, 2016, 12:14pm

A la lecture de la sortie d’iptables-save, j’ai l’impression que la règle shorewall suivante n’est pas prise en compte :

Pourtant elle semble similaire à la règle pour net. Mais je ne connais pas la syntaxe de shorewall.

gilles974 · Février 21, 2016, 12:14pm

c’est se que jamais compris, puisque j’ai recopier la même règles qui est utilisée pour le net
dans la partie loc

en log shorewall avec une connection en 210 j’ai

log filezilla

avec le port en 21 les logs shorewall sont

May 17 18:49:21 thewall Shorewall:loc_dnat:DNAT: IN=eth1 OUT= MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=52 TOS=00 PREC=0x00 TTL=64 ID=16124 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947740 ACK=0 WINDOW=65535 SYN URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=52 TOS=00 PREC=0x00 TTL=63 ID=16124 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947740 ACK=0 WINDOW=65535 SYN URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=40 TOS=00 PREC=0x00 TTL=63 ID=16125 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947741 ACK=2657766121 WINDOW=65535 ACK URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=56 TOS=00 PREC=0x00 TTL=63 ID=16129 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947741 ACK=2657766188 WINDOW=65468 ACK PSH URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=57 TOS=00 PREC=0x00 TTL=63 ID=16134 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947757 ACK=2657766225 WINDOW=65431 ACK PSH URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=40 TOS=00 PREC=0x00 TTL=63 ID=16135 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947774 ACK=2657766290 WINDOW=65366 ACK URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=46 TOS=00 PREC=0x00 TTL=63 ID=16141 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947774 ACK=2657766290 WINDOW=65366 ACK PSH URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=46 TOS=00 PREC=0x00 TTL=63 ID=16145 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947780 ACK=2657766309 WINDOW=65347 ACK PSH URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=40 TOS=00 PREC=0x00 TTL=63 ID=16146 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947786 ACK=2657766526 WINDOW=65130 ACK URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=54 TOS=00 PREC=0x00 TTL=63 ID=16153 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947786 ACK=2657766526 WINDOW=65130 ACK PSH URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=45 TOS=00 PREC=0x00 TTL=63 ID=16157 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947800 ACK=2657766546 WINDOW=65110 ACK PSH URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=48 TOS=00 PREC=0x00 TTL=63 ID=16162 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947805 ACK=2657766580 WINDOW=65076 ACK PSH URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=46 TOS=00 PREC=0x00 TTL=63 ID=16166 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947813 ACK=2657766599 WINDOW=65057 ACK PSH URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=46 TOS=00 PREC=0x00 TTL=63 ID=16170 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947819 ACK=2657766651 WINDOW=65005 ACK PSH URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=52 TOS=00 PREC=0x00 TTL=63 ID=16171 DF PROTO=TCP SPT=3791 DPT=51159 SEQ=1254890504 ACK=0 WINDOW=65535 SYN URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=40 TOS=00 PREC=0x00 TTL=63 ID=16172 DF PROTO=TCP SPT=3791 DPT=51159 SEQ=1254890505 ACK=1388087270 WINDOW=32768 ACK URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=40 TOS=00 PREC=0x00 TTL=63 ID=16176 DF PROTO=TCP SPT=3791 DPT=51159 SEQ=1254890505 ACK=1388090190 WINDOW=32768 ACK URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=40 TOS=00 PREC=0x00 TTL=63 ID=16177 DF PROTO=TCP SPT=3791 DPT=51159 SEQ=1254890505 ACK=1388091774 WINDOW=32768 ACK URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=40 TOS=00 PREC=0x00 TTL=63 ID=16178 DF PROTO=TCP SPT=3791 DPT=51159 SEQ=1254890505 ACK=1388091774 WINDOW=32768 ACK FIN URGP=0
May 17 18:49:21 thewall Shorewall:loc2dmz:ACCEPT: IN=eth1 OUT=eth3 MAC=00:0f:c9:05:58:b4:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.30.10 LEN=40 TOS=00 PREC=0x00 TTL=63 ID=16179 DF PROTO=TCP SPT=3790 DPT=21 SEQ=3389947825 ACK=2657766723 WINDOW=64933 ACK URGP=0

PascalHambourg · Février 21, 2016, 12:14pm

Là encore, il y a quelque chose d’anormal : les règles iptables que tu as données ne peuvent pas provoquer ce type de log avec le port 210, seulement avec le port 21.
Tu as changé quelque chose, modifié les règles, redémarré shorewall ?

gilles974 · Février 21, 2016, 12:14pm

non absolument rien

j’utilise la 1er régle pour ne connecter au ftp en interne sur le port 21

sur le port 210 pour ne connecter au ftp de l’exterieur

si je teste cette règle pour me connecter en interne sur le port 210 nada rien