le Sun, 12 Oct 2003 02:51:18 +0200, fra-duf@tourde.org (François TOURDE) s'exprima en ces termes: > Le 12337ième jour après Epoch, > alde-inquisiteur@wanadoo.fr écrivait: > > >> > [...] > > > > oki doki c'est pas si tordu que ca tcpdump :) > > > >> > je comprend plus rien ca change de port en permanence :( > >> Ben oui, une connexion est initiée d'un client à partir d'un port > >sup à> 1024 vers un serveur sur un port < 1024, en l'occurence le > >port 21 pour> ftp. > >> > >> > #Ouverture pour download signature ETrust innoculated > >> > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20 > >> -j DNAT --to > >> > 192.168.0.1:20 > >> pourquoi ça ? Il est hors de question qu'un serveur ftp se connecte > >sur> ton port ftp, pour peu que tu en aies un ouvert d'ailleurs. > >> > > > > C'est bien ce que je pensais... C'est inutile. Je vire cette regle. > > > >> Un client se connecte sur un port privé < 1024 à partir d'un port > >> sup à 1024 et un serveur répond à partir d'un port privé < 1024 > >> sur le port du client. > >> > >> Je ne suis pas spécialiste mais je trouve que le dialogue est > >uniquement> sur le service ftp, port 21, mais il n'y a pas d'entrée > >en mode ni> passif ni actif, donc le serveur rencontre un problème > >pour initier une> connexion. > >> > >> Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou > >de> l'actif ? > >> > > > > Alors ca... Je vais me renseigner. Pour culture perso Quel > > difference entre passif et actif pour un serveur NAT ? > > Majeur la différence... En FTP non passif, le serveur FTP se connecte > à un numéro de port que le client lui donne, et les firewalls qui font > NAT sont pas prévus pour répondre... > > En mode passif, c'est le client qui se connecte en mode data sur le > serveur. Du coup, les FW NAT considèrent la connection comme valide. Autre version: - en passif c'est le client qui _initie_ la connection de données vers le serveur, donc le serveur reste passif et la connection est "dirigée" du client vers le serveur (sortante du point de vue du client) - en actif c'est le serveur qui se connecte au client, donc serveur actif et connection "dirigée" du serveur vers le client (entrante du point de vue du client). Donc quand ton client est derrière un FW: - soit seuls certains ports en entrant et sortant sont autorisés => FTP impossible - soit tous les ports sont ouverts en sortant, et certains en entrant => FTP passif uniquement Sans firewall, ftp actif ou passif. /N paraphraseur du dimanche ______________________________________________________________________ Nicolas Rueff <n.rueff@tuxfamily.org> http://rueff.tuxfamily.org +33 6 77 64 44 80 -- Those who do not understand Unix are condemned to reinvent it, poorly. -- Henry Spencer ______________________________________________________________________
Attachment:
pgpyrm9VCRylR.pgp
Description: PGP signature