Franck Joncourt a écrit :
Qu'entends tu par translation de l'adresse en mode passif ?La translation de l'adresse transmise par le serveur dans la réponse à la commande PASV afin qu'elle corresponde à l'adresse source du paquet. Il est assez courant que les routeurs NAT fassent cette translation dans les commandes PORT afin que les transferts FTP en mode actif initiés depuis un client masqué passent. Or l'opération est quasiment la même dans les deux cas.Malheureusement, elle n'a pas l'air de faire cela. En espionnant les trames du côté client, je vois bien que le client tente d'effectuer la connexion sur le data channel, en fonction de l'adresse placée dans la réponse à la commande PASV. Et donc, si mon option pasv_address est 192.168.1.10 alors le client recoit l'ip 192.168.1.10 et tente d'établir la connexion avec 192.168.1.10 et non plus sur mon adresse publique.
Au moins ça a le mérite d'être clair : ta box ne sait pas traiter correctement les réponses PASV. :-(
[...]
En fait il y en a une troisième : ne pas utiliser le mode passif classique (PASV) mais le mode passif étendu (EPSV) qui ne transmet que le port et pas l'adresse (redondante puisque c'est forcément l'adresse du serveur). Cela suppose d'utiliser uniquement un serveur FTP et des clients FTP qui le supportent.Cela m'a l'air bien ça (EPSV), je vais aussi regarder ça.
Ça a même été prévu pour être compatible avec IPv6. :-)
et refaire mes manips car j'ai forcément loupé quelque chose.
Je ne vois pas quoi. Le suivi de connexion de Netfilter fait son boulot correctement, le NAT de la box ne fait pas le sien. On voit bien que la modification de l'adresse passive à la source par le serveur a ses limite : le seul vrai bon endroit pour le faire et là où est fait le NAT.