Pages : 1
#1 Le 21/08/2007, à 13:38
- siks971
!!!NAT DNAT SNAT et FTP!!!Prob
bonjour, j'ai quelque problèmes lors de l'élaboration de la configuration de mon firewall sur iptables.
toutes mes configurations iptables sont enregistré dans le fichier /etc/rc.local
-ma freebox d'adresse ip 192.168.0.254 est relié sur mn pc firewall à eth0:192.168.0.200
-le firewall est relié par eth1 192.168.10.200 à un pc serveur ftp sous windows d'adresse 192.168.10.210.
ma configuration iptables est la suivante :
# Règles de Firewall par defaut
#
# Bloquer toutes les connexions entrantes
iptables -P INPUT DROP
# Autoriser le traffic internet des machines sur eth1
iptables -A INPUT -i ! eth0 -j ACCEPT
# Règles staefull autorisant le traffic dynamiquement (au lieu d'autoriser uniquement le traffic web su le port 80)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# redirection des serveurs DNS de free (Activation de l'IP FORWARDING)
echo 1 >/proc/sys/net/ipv4/ip_forward
#
# Forwarder toute les connexions
iptables -P FORWARD ACCEPT
# accepter toutes les connexions sortantes
iptables -P OUTPUT ACCEPT
#
#
# regles NAT pour autoriser toute les machines internes à etablir des connexion externes (Masquer la connexion)
#
###################################################################
# Dans le cas ou la freebox n'est pas configuer et routeur #
#iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to x.x.x.x
###################################################################
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
#
# Règles spécifiques
#
# Autoriser tout le traffic web entrant
#iptables -A INPUT -p tcp -i eth0 --dport 80 -j accept
# Autoriser les pings
iptables -A INPUT -p icmp -j ACCEPT
# Autoriser les connexions entrantes TCP sur les ports 20 et 21
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p TCP --dport 21 -j ACCEPT
#iptables -A INPUT -p TCP --dport 20 -j ACCEPT
# Règles DNAT/SNAT pour le serveur FTP sur l'automate de diffusion
#
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to 192.168.10.210
iptables -t nat -A PREROUTING -p tcp --dport 20 -j DNAT --to 192.168.10.210
iptables -t nat -A POSTROUTING -p tcp -j SNAT --to 192.168.10.210:21
iptables -t nat -A POSTROUTING -p tcp -j SNAT --to 192.168.10.210:20
#
#iptables -I FORWARD -p tcp -i eth0 -s 82.240.31.178 -d 192.168.10.210 --dport 21 -j ACCEPT
#iptables -I FORWARD -p tcp -i eth0 -s 82.240.31.178 -d 192.168.10.210 --dport 20 -j ACCEPT
#
# Autoriser les connexions VNC sur les ports 5950 et 5850
#
# Autoriser le traffic local
iptables -I INPUT 2 -i lo -j ACCEPT
# Pas de filtrage de loopback
iptables -A INPUT -i lo -j ACCEPT
#
# Gestion des rejets (le firewall repond au requetes TCP et UDP comme une machine normale)
# On a donc un firwall discret
iptables -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i eth0 -j REJECT --reject-with icmp-port-unreachable
#
exit 0l'orsque qu'un utilisateur admin se connexte au serveur ftp 192.168.10.210 avec l'adresse ftp://xxxxx.hd.free.fr avec un client filezilla on obtiient l'erreur suivante:
Réponse : 331 Password required for admin.
Commande : PASS *****
Réponse : 230 User admin logged in.
Commande : FEAT
Réponse : 500 'FEAT': command not understood.
Commande : SYST
Réponse : 215 UNIX Type: L8
Etat : Connecté
Etat : Récupération de la liste de répertoires...
Commande : CWD /D:/DRS/Dynamic/
Réponse : 250 CWD command successful. "/D:/DRS/Dynamic/" is current directory.
Commande : PWD
Réponse : 257 "/D:/DRS/Dynamic/" is current directory.
Commande : TYPE A
Réponse : 200 Type set to A.
Commande : PASV
Réponse : 227 Entering Passive Mode (192,168,10,210,8,163).
Commande : LIST -a
Réponse : 150 Opening data connection for directory list.
Erreur : Le canal de transfert n'a pas pu être ouvert. Raison : Une tentative de connexion a échoué car le parti connecté n'a pas répondu convenablement au-delà d'une certaine durée ou une connexion établie a échoué car l'hôte de connexion n'a pas répondu.
Erreur : N'a pas pu récupérer la liste du répertoirePouvez vous m'aiguillez s'il vous plait dans la solution à ce problème??
Siks
Dernière modification par siks971 (Le 21/08/2007, à 13:42)
Fan de musique? Je suis egalement music producer -> http://siks-music.blogspot.com, n'hesitez pas a vister mon blog Ubuntu http://2tibuntu.blogspot.com
Hors ligne
#2 Le 21/08/2007, à 15:21
- Uggy
Re : !!!NAT DNAT SNAT et FTP!!!Prob
Il faut utilser le "conntrack" je crois pour le FTP... regarde de ce coté...
Et pour info le port 20 n'est pas un port destination...
Hors ligne
#3 Le 21/08/2007, à 15:53
- HymnToLife
Re : !!!NAT DNAT SNAT et FTP!!!Prob
Ouvre également les ports pour les connexions de données (voir ce thread).
Dernière modification par HymnToLife (Le 21/08/2007, à 15:55)
- Rodrigue, as-tu du cœur ?
- Non, mais j'ai du pique !
Hors ligne
#4 Le 21/08/2007, à 16:01
- siks971
Re : !!!NAT DNAT SNAT et FTP!!!Prob
Ouvre également les ports pour les connexions de données (voir ce thread).
oui mais comment justement obtenir cette plage de port coté serveur???Mon patron utilise TYPsoft FTP serveur sur windows XP...
Fan de musique? Je suis egalement music producer -> http://siks-music.blogspot.com, n'hesitez pas a vister mon blog Ubuntu http://2tibuntu.blogspot.com
Hors ligne
#5 Le 21/08/2007, à 16:03
- siks971
Re : !!!NAT DNAT SNAT et FTP!!!Prob
j'ai égalemen remaqué que en mode passif je ne peux pas me connecter au serveur FTP tandis que en ACtif je me connecte sans problèmes!!!
bizarre
Fan de musique? Je suis egalement music producer -> http://siks-music.blogspot.com, n'hesitez pas a vister mon blog Ubuntu http://2tibuntu.blogspot.com
Hors ligne
Pages : 1