Je teste un transfert de ftp du style suivant :
iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211
--to-destination 192.168.1.10:21
Le problème est que les "ls", "get" ne passent pas :( Les pwd et cd
passent. Il me semble alors que je doit aussi faire quelque chose au
niveau du port 20, mais quoi ?
Exemple :
ftp> pwd
257 "/home/bs" is current directory.
ftp> cd tmp
250 CWD command successful
ftp> ls
200 PORT command successful
421 No Transfer Timeout (300 seconds): closing control connection.
ftp> get bashrc
local: bashrc remote: bashrc
200 PORT command successful
425 Unable to build data connection: Connection timed out
ftp>
nb : un ftp sur le port 21 doit marcher sur la passerelle qui a aussi
des comptes locaux.
--
Amicalement vOOotre Troumad Alias Bernard SIAUD
mon site : http://troumad.free.fr : AD&D maths WEB sectes
Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html
N'envoyez que des documents avec des formats ouverts, comme
http://fr.openoffice.org
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
X-Japan
Troumad a écrit :
Bonjour
Je teste un transfert de ftp du style suivant : iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211 --to-destination 192.168.1.10:21
Le problème est que les "ls", "get" ne passent pas :( Les pwd et cd passent. Il me semble alors que je doit aussi faire quelque chose au niveau du port 20, mais quoi ? Exemple : ftp> pwd 257 "/home/bs" is current directory. ftp> cd tmp 250 CWD command successful ftp> ls 200 PORT command successful 421 No Transfer Timeout (300 seconds): closing control connection. ftp> get bashrc local: bashrc remote: bashrc 200 PORT command successful 425 Unable to build data connection: Connection timed out ftp>
nb : un ftp sur le port 21 doit marcher sur la passerelle qui a aussi des comptes locaux.
Si le "ls et le "get" ne passent, cela signifie que la connection au serveur FTP doit etre en mode passive.
Pour cela , le serveur va ouvrir un port aléatoire. Donc il faut faire plus que de rediriger le 21. Il me semble qu'il y a un module à charger pour faciliter les choses (ip_nat_ftp)
Jerome
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Troumad a écrit :
Bonjour
Je teste un transfert de ftp du style suivant :
iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211
--to-destination 192.168.1.10:21
Le problème est que les "ls", "get" ne passent pas :( Les pwd et cd
passent. Il me semble alors que je doit aussi faire quelque chose au
niveau du port 20, mais quoi ?
Exemple :
ftp> pwd
257 "/home/bs" is current directory.
ftp> cd tmp
250 CWD command successful
ftp> ls
200 PORT command successful
421 No Transfer Timeout (300 seconds): closing control connection.
ftp> get bashrc
local: bashrc remote: bashrc
200 PORT command successful
425 Unable to build data connection: Connection timed out
ftp>
nb : un ftp sur le port 21 doit marcher sur la passerelle qui a aussi
des comptes locaux.
Si le "ls et le "get" ne passent, cela signifie que la connection au
serveur FTP doit etre en mode passive.
Pour cela , le serveur va ouvrir un port aléatoire. Donc il faut faire
plus que de rediriger le 21. Il me semble qu'il y a un module à charger
pour faciliter les choses (ip_nat_ftp)
Jerome
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je teste un transfert de ftp du style suivant : iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211 --to-destination 192.168.1.10:21
Le problème est que les "ls", "get" ne passent pas :( Les pwd et cd passent. Il me semble alors que je doit aussi faire quelque chose au niveau du port 20, mais quoi ? Exemple : ftp> pwd 257 "/home/bs" is current directory. ftp> cd tmp 250 CWD command successful ftp> ls 200 PORT command successful 421 No Transfer Timeout (300 seconds): closing control connection. ftp> get bashrc local: bashrc remote: bashrc 200 PORT command successful 425 Unable to build data connection: Connection timed out ftp>
nb : un ftp sur le port 21 doit marcher sur la passerelle qui a aussi des comptes locaux.
Si le "ls et le "get" ne passent, cela signifie que la connection au serveur FTP doit etre en mode passive.
Pour cela , le serveur va ouvrir un port aléatoire. Donc il faut faire plus que de rediriger le 21. Il me semble qu'il y a un module à charger pour faciliter les choses (ip_nat_ftp)
Jerome
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Troumad
Patrice OLIVER a écrit :
tu es en mode actif ou passif. Essaie en mode passif.
On (un ami ici présent) vient de m'aider car je n'ai pas bien compris actif/passif. Si je mets la commande *passive* sous ftp un ls ou un get passe. Mais, c'est quoi tout ça ?
-- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : AD&D maths WEB sectes Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Patrice OLIVER a écrit :
tu es en mode actif ou passif.
Essaie en mode passif.
On (un ami ici présent) vient de m'aider car je n'ai pas bien compris
actif/passif.
Si je mets la commande *passive* sous ftp un ls ou un get passe. Mais,
c'est quoi tout ça ?
--
Amicalement vOOotre Troumad Alias Bernard SIAUD
mon site : http://troumad.free.fr : AD&D maths WEB sectes
Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html
N'envoyez que des documents avec des formats ouverts, comme
http://fr.openoffice.org
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
tu es en mode actif ou passif. Essaie en mode passif.
On (un ami ici présent) vient de m'aider car je n'ai pas bien compris actif/passif. Si je mets la commande *passive* sous ftp un ls ou un get passe. Mais, c'est quoi tout ça ?
-- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : AD&D maths WEB sectes Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal
Salut,
Troumad a écrit :
Je teste un transfert de ftp du style suivant : iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211 --to-destination 192.168.1.10:21
Tu risques d'avoir des ennuis si tu fais passer du FTP sur un port non standard.
Le problème est que les "ls", "get" ne passent pas :( Les pwd et cd passent.
La différence est que les deux première commandes provoquent un transfert de données sur une connexion ftp-data en mode actif ou passif selon la configuration courante.
Il me semble alors que je doit aussi faire quelque chose au niveau du port 20, mais quoi ?
Rien de spécial au niveau du port 20.
ftp> get bashrc local: bashrc remote: bashrc 200 PORT command successful 425 Unable to build data connection: Connection timed out
Commande PORT donc mode actif.
Rappel des faits (long, désolé):
En mode actif, le client envoie au serveur par la connexion de contrôle (port standard 21) une commande PORT avec son adresse et un port qu'il ouvre en écoute. Le serveur se connecte au client en utilisant l'adresse et le port destination fournis par ce dernier pour transférer les données (get, put, ls). Normalement le serveur utilise le port source immédiatement inférieur au port de la connexion FTP de contrôle, donc le port 20 si la connexion de contrôle utilise le port FTP standard.
En mode passif, le client envoie au serveur une commande PASV, à laquelle le serveur répond en envoyant son adresse et un numéro de port qu'il ouvre en écoute. Ce numéro de port dynamique n'est pas le port (FTP - 1). Ensuite le client se connecte au serveur en utilisant l'adresse et le port destination fournis par le serveur.
On comprend pourquoi le NAT sans précaution peut faire foirer le protocole FTP. Les adresses publiques ne correspondent pas aux adresses échangées dans les commandes PORT ou PASV, et les ports ne sont pas redirigés par le NAT.
En pratique, sans dispositions particulières sur le routeur NAT ou le serveur : - client derrière un routeur NAT -> le mode actif ne marche pas - serveur derrière un routeur NAT -> le mode passif ne marche pas
Et quand les deux sont chacun derrière un routeur NAT, je vous laisse deviner le carnage.
Le problème est connu depuis à peu près aussi longtemps que le NAT existe. Certains programmes serveurs FTP ont été adaptés pour pouvoir fonctionner en mode passif derrière un routeur NAT : en mode passif, ils ne fournissent pas leur propre adresse IP dans la réponse à la commande PASV du client mais l'adresse publique du routeur (obtenir cette adresse publique quand elle est dynamique est un autre problème). Il faut aussi leur spécifier une plage de ports à utiliser pour les connexions de données, et configurer le routeur NAT pour rediriger ces ports vers l'adresse privée du serveur.
Une autre approche consiste pour le routeur NAT à surveiller le contenu de la connexion FTP de contrôle, intercepter les adresses et ports des commands PORT ou PASV, et remplacer l'adresse privée par l'adresse publique et créer dynamiquement une redirection du port de la connexion de données. Le programme qui réalise cette tâche pour un protocole donné (FTP n'est pas le seul à avoir des problèmes avec NAT) est appelé un "helper". Dans le noyau Linux 2.4 ou 2.6, le helper NAT FTP associé à iptables est le module ip_nat_ftp qui a lui-même besoin du module de suivi de connexion FTP ip_conntrack_ftp.
Pour revenir à ton cas : en mode actif sur un serveur FTP NATé ça aurait dû passer, sauf si les connexions sortantes sont bloquées par le routeur NAT devant le serveur FTP ou un firewall installé sur la machine qui héberge le serveur, ou si le client FTP est lui-même derrière un routeur NAT qui ne gère pas le protocole FTP sur le port 2211. La plupart des routeurs savent gérer le protocole FTP mais uniquement quand la connexion de contrôle utilise le port standard 21, et parfois aussi uniquement quand c'est le client qui est derrière le NAT.
Si le client est derrière un routeur NAT qui ne peut être configuré pour suivre le le protocole FTP sur le port 2211, il faut passer en mode passif. De plus, il faut configurer le routeur NAT du serveur FTP pour prendre en compte le procole FTP. Sous Linux, c'est faisable.
Comme je ne sais pas si le helper FTP intervient avant ou après le NAT pour identifier une connexion FTP de contrôle, il vaut mieux spécifier les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de ports, le helper surveille le port 21.
Le chargement des modules au démarrage peut être inscrit dans /etc/modules.conf au moyen de l'outil modconf.
Ensuite, il faut autoriser les connexions FTP de données entrantes qui sont identifiées par le suivi de connexion de Netfilter comme liées aux connexions établies. Soit dans une règle particulière :
iptables -A FORWARD -i $NET -m state --state RELATED -p tcp --syn -j ACCEPT
On peut ajouter une restriction sur la plage de ports destination utilisée par le serveur si elle est connue.
Soit dans la règle plus générale bien connue :
iptables -A FORWARD -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
Troumad a écrit :
Je teste un transfert de ftp du style suivant :
iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211
--to-destination 192.168.1.10:21
Tu risques d'avoir des ennuis si tu fais passer du FTP sur un port non
standard.
Le problème est que les "ls", "get" ne passent pas :( Les pwd et cd
passent.
La différence est que les deux première commandes provoquent un transfert
de données sur une connexion ftp-data en mode actif ou passif selon la
configuration courante.
Il me semble alors que je doit aussi faire quelque chose au
niveau du port 20, mais quoi ?
Rien de spécial au niveau du port 20.
ftp> get bashrc
local: bashrc remote: bashrc
200 PORT command successful
425 Unable to build data connection: Connection timed out
Commande PORT donc mode actif.
Rappel des faits (long, désolé):
En mode actif, le client envoie au serveur par la connexion de contrôle
(port standard 21) une commande PORT avec son adresse et un port qu'il
ouvre en écoute. Le serveur se connecte au client en utilisant l'adresse
et le port destination fournis par ce dernier pour transférer les données
(get, put, ls). Normalement le serveur utilise le port source
immédiatement inférieur au port de la connexion FTP de contrôle, donc le
port 20 si la connexion de contrôle utilise le port FTP standard.
En mode passif, le client envoie au serveur une commande PASV, à laquelle
le serveur répond en envoyant son adresse et un numéro de port qu'il
ouvre en écoute. Ce numéro de port dynamique n'est pas le port (FTP - 1).
Ensuite le client se connecte au serveur en utilisant l'adresse et le
port destination fournis par le serveur.
On comprend pourquoi le NAT sans précaution peut faire foirer le
protocole FTP. Les adresses publiques ne correspondent pas aux adresses
échangées dans les commandes PORT ou PASV, et les ports ne sont pas
redirigés par le NAT.
En pratique, sans dispositions particulières sur le routeur NAT ou le
serveur :
- client derrière un routeur NAT -> le mode actif ne marche pas
- serveur derrière un routeur NAT -> le mode passif ne marche pas
Et quand les deux sont chacun derrière un routeur NAT, je vous laisse
deviner le carnage.
Le problème est connu depuis à peu près aussi longtemps que le NAT
existe. Certains programmes serveurs FTP ont été adaptés pour pouvoir
fonctionner en mode passif derrière un routeur NAT : en mode passif, ils
ne fournissent pas leur propre adresse IP dans la réponse à la commande
PASV du client mais l'adresse publique du routeur (obtenir cette adresse
publique quand elle est dynamique est un autre problème). Il faut aussi
leur spécifier une plage de ports à utiliser pour les connexions de
données, et configurer le routeur NAT pour rediriger ces ports vers
l'adresse privée du serveur.
Une autre approche consiste pour le routeur NAT à surveiller le contenu
de la connexion FTP de contrôle, intercepter les adresses et ports des
commands PORT ou PASV, et remplacer l'adresse privée par l'adresse
publique et créer dynamiquement une redirection du port de la connexion
de données. Le programme qui réalise cette tâche pour un protocole donné
(FTP n'est pas le seul à avoir des problèmes avec NAT) est appelé un
"helper". Dans le noyau Linux 2.4 ou 2.6, le helper NAT FTP associé à
iptables est le module ip_nat_ftp qui a lui-même besoin du module de
suivi de connexion FTP ip_conntrack_ftp.
Pour revenir à ton cas : en mode actif sur un serveur FTP NATé ça aurait
dû passer, sauf si les connexions sortantes sont bloquées par le routeur
NAT devant le serveur FTP ou un firewall installé sur la machine qui
héberge le serveur, ou si le client FTP est lui-même derrière un routeur
NAT qui ne gère pas le protocole FTP sur le port 2211. La plupart des
routeurs savent gérer le protocole FTP mais uniquement quand la connexion
de contrôle utilise le port standard 21, et parfois aussi uniquement
quand c'est le client qui est derrière le NAT.
Si le client est derrière un routeur NAT qui ne peut être configuré pour
suivre le le protocole FTP sur le port 2211, il faut passer en mode
passif. De plus, il faut configurer le routeur NAT du serveur FTP pour
prendre en compte le procole FTP. Sous Linux, c'est faisable.
Comme je ne sais pas si le helper FTP intervient avant ou après le NAT
pour identifier une connexion FTP de contrôle, il vaut mieux spécifier
les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de
ports, le helper surveille le port 21.
Le chargement des modules au démarrage peut être inscrit dans
/etc/modules.conf au moyen de l'outil modconf.
Ensuite, il faut autoriser les connexions FTP de données entrantes qui
sont identifiées par le suivi de connexion de Netfilter comme liées aux
connexions établies. Soit dans une règle particulière :
iptables -A FORWARD -i $NET -m state --state RELATED -p tcp --syn
-j ACCEPT
On peut ajouter une restriction sur la plage de ports destination
utilisée par le serveur si elle est connue.
Soit dans la règle plus générale bien connue :
iptables -A FORWARD -i $NET -m state --state ESTABLISHED,RELATED
-j ACCEPT
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je teste un transfert de ftp du style suivant : iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211 --to-destination 192.168.1.10:21
Tu risques d'avoir des ennuis si tu fais passer du FTP sur un port non standard.
Le problème est que les "ls", "get" ne passent pas :( Les pwd et cd passent.
La différence est que les deux première commandes provoquent un transfert de données sur une connexion ftp-data en mode actif ou passif selon la configuration courante.
Il me semble alors que je doit aussi faire quelque chose au niveau du port 20, mais quoi ?
Rien de spécial au niveau du port 20.
ftp> get bashrc local: bashrc remote: bashrc 200 PORT command successful 425 Unable to build data connection: Connection timed out
Commande PORT donc mode actif.
Rappel des faits (long, désolé):
En mode actif, le client envoie au serveur par la connexion de contrôle (port standard 21) une commande PORT avec son adresse et un port qu'il ouvre en écoute. Le serveur se connecte au client en utilisant l'adresse et le port destination fournis par ce dernier pour transférer les données (get, put, ls). Normalement le serveur utilise le port source immédiatement inférieur au port de la connexion FTP de contrôle, donc le port 20 si la connexion de contrôle utilise le port FTP standard.
En mode passif, le client envoie au serveur une commande PASV, à laquelle le serveur répond en envoyant son adresse et un numéro de port qu'il ouvre en écoute. Ce numéro de port dynamique n'est pas le port (FTP - 1). Ensuite le client se connecte au serveur en utilisant l'adresse et le port destination fournis par le serveur.
On comprend pourquoi le NAT sans précaution peut faire foirer le protocole FTP. Les adresses publiques ne correspondent pas aux adresses échangées dans les commandes PORT ou PASV, et les ports ne sont pas redirigés par le NAT.
En pratique, sans dispositions particulières sur le routeur NAT ou le serveur : - client derrière un routeur NAT -> le mode actif ne marche pas - serveur derrière un routeur NAT -> le mode passif ne marche pas
Et quand les deux sont chacun derrière un routeur NAT, je vous laisse deviner le carnage.
Le problème est connu depuis à peu près aussi longtemps que le NAT existe. Certains programmes serveurs FTP ont été adaptés pour pouvoir fonctionner en mode passif derrière un routeur NAT : en mode passif, ils ne fournissent pas leur propre adresse IP dans la réponse à la commande PASV du client mais l'adresse publique du routeur (obtenir cette adresse publique quand elle est dynamique est un autre problème). Il faut aussi leur spécifier une plage de ports à utiliser pour les connexions de données, et configurer le routeur NAT pour rediriger ces ports vers l'adresse privée du serveur.
Une autre approche consiste pour le routeur NAT à surveiller le contenu de la connexion FTP de contrôle, intercepter les adresses et ports des commands PORT ou PASV, et remplacer l'adresse privée par l'adresse publique et créer dynamiquement une redirection du port de la connexion de données. Le programme qui réalise cette tâche pour un protocole donné (FTP n'est pas le seul à avoir des problèmes avec NAT) est appelé un "helper". Dans le noyau Linux 2.4 ou 2.6, le helper NAT FTP associé à iptables est le module ip_nat_ftp qui a lui-même besoin du module de suivi de connexion FTP ip_conntrack_ftp.
Pour revenir à ton cas : en mode actif sur un serveur FTP NATé ça aurait dû passer, sauf si les connexions sortantes sont bloquées par le routeur NAT devant le serveur FTP ou un firewall installé sur la machine qui héberge le serveur, ou si le client FTP est lui-même derrière un routeur NAT qui ne gère pas le protocole FTP sur le port 2211. La plupart des routeurs savent gérer le protocole FTP mais uniquement quand la connexion de contrôle utilise le port standard 21, et parfois aussi uniquement quand c'est le client qui est derrière le NAT.
Si le client est derrière un routeur NAT qui ne peut être configuré pour suivre le le protocole FTP sur le port 2211, il faut passer en mode passif. De plus, il faut configurer le routeur NAT du serveur FTP pour prendre en compte le procole FTP. Sous Linux, c'est faisable.
Comme je ne sais pas si le helper FTP intervient avant ou après le NAT pour identifier une connexion FTP de contrôle, il vaut mieux spécifier les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de ports, le helper surveille le port 21.
Le chargement des modules au démarrage peut être inscrit dans /etc/modules.conf au moyen de l'outil modconf.
Ensuite, il faut autoriser les connexions FTP de données entrantes qui sont identifiées par le suivi de connexion de Netfilter comme liées aux connexions établies. Soit dans une règle particulière :
iptables -A FORWARD -i $NET -m state --state RELATED -p tcp --syn -j ACCEPT
On peut ajouter une restriction sur la plage de ports destination utilisée par le serveur si elle est connue.
Soit dans la règle plus générale bien connue :
iptables -A FORWARD -i $NET -m state --state ESTABLISHED,RELATED -j ACCEPT
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Troumad
Merci !
a écrit :
Rappel des faits (long, désolé):
Pas grave, j'ai tout lu et j'ai vu que 'ai encore beaucoup de choses à apprendre avant de passer à l'action. Je garde donc ce mail de côté pour (re)faire des tests dans la suite.
Le chargement des modules au démarrage peut être inscrit dans /etc/modules.conf au moyen de l'outil modconf.
Après une longue explication voici encore un point qui me fait peur. Un autre point qu'il faudra que 'apprenne à maîtriser !
Bon, pour le moemnt : pierrade :)
-- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : AD&D maths WEB sectes Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Merci !
Pascal@plouf a écrit :
Rappel des faits (long, désolé):
Pas grave, j'ai tout lu et j'ai vu que 'ai encore beaucoup de choses à
apprendre avant de passer à l'action.
Je garde donc ce mail de côté pour (re)faire des tests dans la suite.
Le chargement des modules au démarrage peut être inscrit dans
/etc/modules.conf au moyen de l'outil modconf.
Après une longue explication voici encore un point qui me fait peur. Un
autre point qu'il faudra que 'apprenne à maîtriser !
Bon, pour le moemnt : pierrade :)
--
Amicalement vOOotre Troumad Alias Bernard SIAUD
mon site : http://troumad.free.fr : AD&D maths WEB sectes
Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html
N'envoyez que des documents avec des formats ouverts, comme
http://fr.openoffice.org
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Pas grave, j'ai tout lu et j'ai vu que 'ai encore beaucoup de choses à apprendre avant de passer à l'action. Je garde donc ce mail de côté pour (re)faire des tests dans la suite.
Le chargement des modules au démarrage peut être inscrit dans /etc/modules.conf au moyen de l'outil modconf.
Après une longue explication voici encore un point qui me fait peur. Un autre point qu'il faudra que 'apprenne à maîtriser !
Bon, pour le moemnt : pierrade :)
-- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : AD&D maths WEB sectes Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Cyprien
> Comme je ne sais pas si le helper FTP intervient avant ou après le NAT pour identifier une connexion FTP de contrôle, il vaut mieux spécifier les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de ports, le helper surveille le port 21.
Visiblement le helper intervient après la redirection du NAT, puisque la connection en mode passive marche, sans avoir à spécifier les ports aux modules.
Cyprien
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
> Comme je ne sais pas si le helper FTP intervient avant ou après le NAT
pour identifier une connexion FTP de contrôle, il vaut mieux spécifier
les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de
ports, le helper surveille le port 21.
Visiblement le helper intervient après la redirection du NAT, puisque
la connection en mode passive marche, sans avoir à spécifier les ports
aux modules.
Cyprien
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Comme je ne sais pas si le helper FTP intervient avant ou après le NAT pour identifier une connexion FTP de contrôle, il vaut mieux spécifier les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de ports, le helper surveille le port 21.
Visiblement le helper intervient après la redirection du NAT, puisque la connection en mode passive marche, sans avoir à spécifier les ports aux modules.
Cyprien
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal
Cyprien a écrit :
Comme je ne sais pas si le helper FTP intervient avant ou après le NAT pour identifier une connexion FTP de contrôle, il vaut mieux spécifier les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de ports, le helper surveille le port 21.
Visiblement le helper intervient après la redirection du NAT, puisque la connection en mode passive marche, sans avoir à spécifier les ports aux modules.
Pas sûr. Je viens de penser que dans cette configuration l'information (adresse,port) à intercepter est émise par le serveur, donc traverse la passerelle dans le sens retour. La translation de port inverse 21 -> 2211 qui rétablit le port source d'origine n'ayant lieu que dans la chaîne POSTROUTING qui est la dernière traversée (plus précisément dans le "hook" NF_IP_POST_ROUTING), le helper de suivi de connexion FTP peut intervenir à peu près n'importe où.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Cyprien a écrit :
Comme je ne sais pas si le helper FTP intervient avant ou après le NAT
pour identifier une connexion FTP de contrôle, il vaut mieux spécifier
les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de
ports, le helper surveille le port 21.
Visiblement le helper intervient après la redirection du NAT, puisque
la connection en mode passive marche, sans avoir à spécifier les ports
aux modules.
Pas sûr. Je viens de penser que dans cette configuration l'information
(adresse,port) à intercepter est émise par le serveur, donc traverse la
passerelle dans le sens retour. La translation de port inverse 21 -> 2211
qui rétablit le port source d'origine n'ayant lieu que dans la chaîne
POSTROUTING qui est la dernière traversée (plus précisément dans le
"hook" NF_IP_POST_ROUTING), le helper de suivi de connexion FTP peut
intervenir à peu près n'importe où.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Comme je ne sais pas si le helper FTP intervient avant ou après le NAT pour identifier une connexion FTP de contrôle, il vaut mieux spécifier les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de ports, le helper surveille le port 21.
Visiblement le helper intervient après la redirection du NAT, puisque la connection en mode passive marche, sans avoir à spécifier les ports aux modules.
Pas sûr. Je viens de penser que dans cette configuration l'information (adresse,port) à intercepter est émise par le serveur, donc traverse la passerelle dans le sens retour. La translation de port inverse 21 -> 2211 qui rétablit le port source d'origine n'ayant lieu que dans la chaîne POSTROUTING qui est la dernière traversée (plus précisément dans le "hook" NF_IP_POST_ROUTING), le helper de suivi de connexion FTP peut intervenir à peu près n'importe où.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
