PhenIXUS

[hugotor]

Bonne année à tous !

J'ai cherché mais j'ai du mal à trouver le cas suivant :
Cas

Requête FTP effectuée depuis un serveur web sur un poste du GREEN

Problème

Une fois de temps en temps on accède à la liste des fichiers !

Situation

• Deux accès à internet sur le réseau GREEN : Orange avec IPCOP et Nerim avec un Linksys.
• Passerelle par défaut est sur Nerim.
• IP patte GREEN de l'IPCOP : 10.0.0.240
• IP poste serveur FTP : 10.0.0.111
• Requête lancée sur l'ip publique de l'IPCOP

Réglage iptables pour transfert ports pour FTP

Code : Tout sélectionner

/sbin/iptables -t nat -A POSTROUTING -d 10.0.0.111 -p tcp --dport 21 -j SNAT --to-source 10.0.0.240:21
/sbin/iptables -t nat -A POSTROUTING -d 10.0.0.111 -p tcp --dport 20 -j SNAT --to-source 10.0.0.240:20

Remarques

Attention, j'ai déjà utilisé ce genre de règle est cela passe bien !.

Schémas ci-dessous
Internet 1----<RED> ipcop 1.4 <GREEN-10.0.0.240>----- Réseau local 10.0.0.0/24 -----<10.0.0.250> Autre <>---- Internet 2

[jdh]

Utilisation du formulaire : à revoir !

Il est TRES illogique d'avoir un routeur vers Internet branché sur la zone Green : c'est fondamentalement idiot et dangereux !
Il est indispensable d'avoir autant de WAN que nécessaire (et une distribution firewall qui sait gérer du multi-wan)

Etes vous sûr qu'Ipcop soit conçu pour supporter cette config ? (Je ne le pense pas du tout !)
Il y a au moins une distribution qui est parfaitement à l'aise avec 2 accès Internet : avez vous cherché ?

Pour mettre à disposition un serveur FTP pour accès depuis Internet, il ne faut créer qu'une seul règle (port forward du port 21/tcp),
Le module approprié de 'ftp_contrack' fera (comme son nom l'indique) le boulot nécessaire.
Pour comprendre, je suggère Christian CALECA et de bien comprendre, dans le protole FTP, le mode actif/mode passif.

[hugotor]

Bonsoir,

Je vous suis reconnaissant de m'avoir répondu, malgré le non respect du formulaire (que j'ai vu après postage )

Puisque vous-voulez l'explication (même si vous ne la demandez-pas), voici la situation.
Contexte :

C'est principalement pour avoir un accès internet de secours (IPCOP)
L'autre accès est un VPN qui relie deux sites.

Pistes imaginées(aires) :

J'ai cru que cela serait plus simple de faire comme j'avais déjà fait avec d'autres ports.
Je me suis trompé.

Solution :

Je vais faire effectuer l'accès par le prestataire du VPN

Opinion :

Le formulaire de demande d'aide est très bien fait, et récapitule bien tout ce que l'on doit faire avant de déranger tout le monde.
Bravo.

A bientôt.
PS : Désolé pour le dérangement.

Bonne année

[jdh]

Il n'y a pas de mal.

Un firewall est là pour séparer l'interne (Green) de l'externe (Red=Wan, vpn).

Avec un réseau ayant 2 gateway (routeurs vers Internet ou d'autres réseaux), il la plupart du temps ajouter une ou des routes à chaque matériel, alors qu'il est plus facile de n'avoir que le firewall comme gateway par défaut.

NB : quand j'ai pris en charge le réseau de mon entreprise, j'ai trouvé 2 routeurs dans le LAN en sus du firewall !

A travailler ...

[hugotor]

Salut,

Je me pencherai sur le double Red (wan, vpn).

Merci.