Pb avec ftp conntrack et iptables

Bonjour,

Pour de plus amples informations j'ai reproduit le Pb rencontré à l'URL
suivante à qq variante près
http://www.experts-exchange.com/Security/Linux_Security/Q_20652062.html
La config:
un modem routeur effectuant la connexion ADSL (firewall activé uniquement
pour lui-même)
Celui-ci est configuré de telle sorte que toutes les connexions entrantes
sont natées vers un seul poste, à savoir un routeur nat sous Linux (version
LFS - kernel 2.4.21 et iptables-1.2.8 le tout en Ramdisk sans disque dur [8
Mo])
Configuration de ce routeur nat sous Linux
connexions routeur sur lui-même via lo illimitées
connexions Lan -> interface interne du routeur illimitées (suis chez moi
...)
connexions Lan -> Internet non limitées
connexions routeur via interface externe -> Internet interdites
connexions entrantes relatives à des connexions initiées par le Lan
illimitées
nouvelles connexions Internet -> Lan: uniquemement pour certains ports
(PREROUTING DNAT sur des postes du Lan faisant office de serveur accessibles
via Internet: WWW - SSH et FTP)
Donc le Pb se situe avec le conntrack de FTP (j'utilise un serveur vsftpd
configuré en anymous readable only)
Coté clients du Lan: aucun Pb aucune connexion n'est refusée et le conntrack
ftp d'iptables fonctionne à merveille sur tout serveur FTP distant .....
En ce qui concerne le serveur vsftpd celà se gâte:
client internet sous Microsoft effectuant une connexion sur mon serveur FTP
Par défaut IE utilise le mode ftp actif (si si c'est vrai) => pas de Pb: le
canal de cmd est naté - le serveur initie une connexion sur le client pour
le canal de données = tout passe puisque la connexion est initiée à partir
du Lan (le conntrack FTP d'iptables n'entre pas en jeu ...)
Maintenant cas d'un client ftp (IE ou autre) en mode passif qui est le
standard le plus usité (configuration commune de tout firewall qui se
respecte en entreprise ...)
Dans ce mode le serveur envoie une commande ftp PORT pour signaler au client
qu'il invite ce dernier à ouvrir un canal pour les données sur le port
précité et qu'il se met de ce fait en mode passif (plus poli que FTP celà
n'existe pas .....)
=> nouvelle connexion entrante sur mon Lan (via le modem et le routeur NAT
etc..)
Et c'est là que le conntrack ftp d'iptables est défectueux: La commande PORT
du serveur n'est pas interceptée et cette nouvelle connexion entrante du
client est bel et bien avec le statut NEW et non pas RELATED (related à la
connexion initiée sur le port 21 de mon serveur vsftpd)
Ceci m'oblige donc à nater les connexions entrantes (sur la plage des ports
de mon serveur en mode passif) en tant que nouvelles connexions dans mes
règles iptables ce qui me pose le Pb suivant:
Mon réseau n'est pas professionnel mais je suis donc obligé de réserver une
plage d'unprivilegied ports (mettons 4500 à 4510 au pif) qui peut enter en
conflit avec les connexions de mes clients du Lan (par malchance un poste
choisit le port 4505 pour se connecter sur http://www.redhat.conm ..... =>
les réponses seront de ce fait DestNatées vers mon serveur FTP interne
.....)
Je pense donc avoir reformulé le cas de figure exposé à l'URL du début de
mon message et aimerai avoir vos avis

Cordialement
Thierry Parage