Regle iptables

Support Debian
#1

bonjour

j’ai mon ftp sur l’IP (192.168.10.3)

j’arrive à y accéder de l’extérieur grâce à la régle ci-dessous

iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -p tcp --sport 20:21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 20:21 -j DNAT --to 192.168.10.3

par contre j’arrive pas à autoriser les paquets à sortir du nas -> eth0

une idee ??

#2

Suis pas sûr d’avoir compris de quels paquets tu parles, mais le module nf_nat_ftp du noyau est bien chargé ?

#3

oui le module ip_nat_ftp est chargé

mauvais nom : paquet

je n’arrive pas à récupérer le fichier

#4

Tu pourrais détailler un peu plus ?

#5

j’ai pu regler une partie

reste à établir la regle pour les ports 51000:52000
un bon dessin vau mieux qu’un discours

http://www.freenaskb.info/kb_upload/Image/freenas/ftpaccess.png

et la page qui traite du sujet

http://www.freenaskb.info/kb/?View=entry&EntryID=76

j’ai forwarder les ports avec cette regle mais que neni

réponse du ftp quand je me connecte en TLS

#6

Ah, c’est en FTP/TLS. Dans ce cas nf_nat_ftp et nf_conntrack_ftp sont inefficaces, car ils ne peuvent pas décoder le flux chiffré de la connexion de commande.

Tu as bien configuré le serveur FTP du NAS pour annoncer ton adresse IP publique comme adresse passive, comme indiqué sur le dessin ? Apparemment non, d’après sa réponse à la commande PASV.

Tes règles dans FORWARD ne font pas de “port forwarding” (redirection de port), elles ne font qu’accepter des paquets qui traversent le routeur. La redirection de port se fait avec une règle de NAT destination (DNAT) dans la chaîne PREROUTING, comme tu l’as fait pour le port 21.

#7

oui le NAS est bien configurer au niveau des ports

j’ai refait une règle en intégrant les ports 51000:52000

iptables -t nat -A PREROUTING -p tcp --dport 51000:52000 -i eth0 -j DNAT --to 192.168.10.3

et forwarde les port en entre/sortie

iptables -A FORWARD -p tcp --dport 51000:52000 -j ACCEPT
iptables -A FORWARD -p tcp --sport 51000:52000 -j ACCEPT

merci du tuyau a+

#8

Je parlais de l’adresse passive, pas des ports.

Si ça marche quand même, c’est grâce au client FTP que tu as utilisé qui corrige l’adresse passive reçue (et accessoirement confond adresse non routable et adresse privée non routée sur l’internet public, mais ce n’est pas très grave). Cela ne marchera pas forcément avec un autre client FTP qui ne fait pas la correction.

Et tes règles de filtrage sont trop laxistes. Tu devrais spécifier les interfaces d’entrée et de sortie et utiliser le suivi de connexion pour les rendre plus strictes.