[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptable redirection ftp



Cyprien a écrit :
Comme je ne sais pas si le helper FTP intervient avant ou après le NAT pour identifier une connexion FTP de contrôle, il vaut mieux spécifier les deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste de ports, le helper surveille le port 21.

Visiblement le helper intervient après la redirection du NAT, puisque
la connection en mode passive marche, sans avoir à spécifier les ports
aux modules.

Pas sûr. Je viens de penser que dans cette configuration l'information (adresse,port) à intercepter est émise par le serveur, donc traverse la passerelle dans le sens retour. La translation de port inverse 21 -> 2211 qui rétablit le port source d'origine n'ayant lieu que dans la chaîne POSTROUTING qui est la dernière traversée (plus précisément dans le "hook" NF_IP_POST_ROUTING), le helper de suivi de connexion FTP peut intervenir à peu près n'importe où.



Reply to: