ftp client (passif) et iptables

To: Debian user french <debian-user-french@lists.debian.org>
Subject: ftp client (passif) et iptables
From: BERTRAND Joël <joel.bertrand@systella.fr>
Date: Tue, 30 Sep 2025 23:30:08 +0200
Message-id: <[🔎] c8314c57-e9ae-0c81-359c-0276405b1566@systella.fr>

	Bonjour à tous,

	Petit problème iptables. Je dois pouvoir me connecter sur un ftp passif
depuis une machine Linux qui est directement sur internet (IP publique,
pas de box ou autre joyeuseté).

	J'ai un script iptables qui est assez gros et qui fonctionne
parfaitement et qui permet même de présenter sur internet un serveur ftp
passif d'un VAX naté derrière cette machine. Depuis ce VAX, d'ailleurs,
j'arrive aussi à me connecter à un serveur ftp au travers de cette
machine Linux.

	Seul problème : je n'arrive pas à me connecter à un serveur ftp depuis
la machine linux elle-même !

	Mon script iptables est le suivant (je retire tout ce qui n'a pas grand
intérêt ici) :

*filter
:INPUT DROP [28:3300]
:FORWARD DROP [0:0]
:OUTPUT DROP [27:3120]

[0:0] -A OUTPUT -o wan0 -p tcp -m tcp --dport ftp -j ACCEPT
[0:0] -A OUTPUT -o wan0 -m conntrack --ctstate ESTABLISHED,RELATED -m
helper --helper ftp -j ACCEPT
[0:0] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -m state --state INVALID -j DROP
#
#===============================================================================
# Vers le VAX
#===============================================================================
#
[0:0] -A FORWARD -d 192.168.10.107 -o lan0 -p tcp -m tcp --dport ftp -j
ACCEPT
[0:0] -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -m helper
--helper ftp -j ACCEPT
[0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -m state --state INVALID -j DROP
COMMIT
# Completed on Sat Jan 22 20:25:31 2005
# Generated by iptables-save v1.2.11 on Sat Jan 22 20:25:31 2005
*nat
:PREROUTING ACCEPT [2:156]
:POSTROUTING ACCEPT [4:377]
:OUTPUT ACCEPT [0:0]
#
#===============================================================================
# Accès au VAX
#===============================================================================
#
[0:0] -A PREROUTING -d ippublique -j DNAT --to-destination 192.168.10.107
[0:0] -A POSTROUTING -d 192.168.10.107 -j SNAT --to-source ippublique
COMMIT

	Le nat fonctionne parfaitement. Les modules conntrack sont bien chargés
(sinon le nat ne pourrait pas fonctionner). Je suppose que j'ai raté
quelque chose mais je ne vois pas.

	Toute aide sera la bienvenue,

	JB

Attachment: signature.asc
Description: OpenPGP digital signature

Reply to:

Prev by Date: kea-dhcp4-server ne fonctionne plus après migration 12 -> 13
Next by Date: Nettoyage du spam : septembre 2025
Previous by thread: kea-dhcp4-server ne fonctionne plus après migration 12 -> 13
Next by thread: Nettoyage du spam : septembre 2025
Index(es):
- Date
- Thread