L'internet rapide et permanent

Outils pour utilisateurs

Outils du site

Vous êtes ici : L'internet rapide et permanent » Les protocoles applicatifs » FTP » Jouons avec Pure-ftpd » Derrière un routeur NAT

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
090_applicatifs:205ftp:900pureftpd:50_ftp-dnat [le 16/02/2025 à 14:36] – ↷ Page déplacée de 050_applicatifs:205ftp:900pureftpd:50_ftp-dnat à 090_applicatifs:205ftp:900pureftpd:50_ftp-dnat prof090_applicatifs:205ftp:900pureftpd:50_ftp-dnat [le 02/04/2025 à 16:38] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. prof
Ligne 6: Ligne 6:
 Ce qui nous donne : Ce qui nous donne :
 <html><div style="clear:right"></div></html> <html><div style="clear:right"></div></html>
-{{ :205ftp:architecture.png?720 |Architecture NAT/NAT}}+{{ 090_applicatifs:205ftp:architecture.png?720 |Architecture NAT/NAT}}
 ===== Côté client ===== ===== Côté client =====
 Sur la passerelle du client (GNU/Linux avec iptables), nous avons chargé les modules ''nf-conntrack-ftp'' et ''nf-nat-ftp'', nécessaires pour que le client puisse utiliser le mode actif. Sur la passerelle du client (GNU/Linux avec iptables), nous avons chargé les modules ''nf-conntrack-ftp'' et ''nf-nat-ftp'', nécessaires pour que le client puisse utiliser le mode actif.
Ligne 20: Ligne 20:
  
   iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to-destination 192.168.10.76   iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to-destination 192.168.10.76
-{{ :205ftp:dnat.png?450 |DNAT du port 21}}+{{ 090_applicatifs:205ftp:dnat.png?450 |DNAT du port 21}}
 Pouvons-nous prévoir le comportement ? Une requête arrivant sur xxx.yyy.zzz.ttt port 21 va être redirigée sur notre serveur. Il répondra à la requête. Côté canal de contrôle, il ne devrait pas y avoir de problèmes. Pouvons-nous prévoir le comportement ? Une requête arrivant sur xxx.yyy.zzz.ttt port 21 va être redirigée sur notre serveur. Il répondra à la requête. Côté canal de contrôle, il ne devrait pas y avoir de problèmes.
 ===== Mode actif ===== ===== Mode actif =====
Ligne 78: Ligne 78:
 ==== Essai en FTP ==== ==== Essai en FTP ====
 Ici, nous risquons de rencontrer un problème du fait que dans ce mode, le serveur va présenter son adresse IP qui est ici privée donc, non routée. ''FileZilla'' sait contourner cette erreur, mais nous allons lui dire de ne pas le faire : Ici, nous risquons de rencontrer un problème du fait que dans ce mode, le serveur va présenter son adresse IP qui est ici privée donc, non routée. ''FileZilla'' sait contourner cette erreur, mais nous allons lui dire de ne pas le faire :
-{{ :205ftp:filezilla-passif-2.png?720 |Filezilla passif sans intelligence}}+{{ 090_applicatifs:205ftp:filezilla-passif-2.png?720 |Filezilla passif sans intelligence}}
 Ce qui nous permettra de mettre en évidence cette erreur : Ce qui nous permettra de mettre en évidence cette erreur :
 <html><pre class="code"> <html><pre class="code">
Ligne 214: Ligne 214:
 ==== Une autre piste ==== ==== Une autre piste ====
 Une solution intéressante, mais qui sort du cadre de cette étude sur FTP consiste à établir un tunnel chiffré, par exemple entre la passerelle du réseau contenant le serveur FTP et le poste du client : Une solution intéressante, mais qui sort du cadre de cette étude sur FTP consiste à établir un tunnel chiffré, par exemple entre la passerelle du réseau contenant le serveur FTP et le poste du client :
-{{ :205ftp:solution-vpn.png?720 |Solution VPN}}+{{ 090_applicatifs:205ftp:solution-vpn.png?720 |Solution VPN}}
 Dans ce cas, le tunnel étant lui-même chiffré, rien n'interdirait d'abandonner FTPES au profit de FTP, ce qui simplifierait le problème. Dans une telle topologie, le client pourrait même à travers son tunnel accéder à tous les nœuds de son réseau privé. Une solution comme ''openvpn'' supporte très bien de passer un routeur NAT, encore faudra-t-il que les pare-feux laissent passer le tunnel. Mais tout ceci est une [[280vpn:start|autre histoire ]]. Dans ce cas, le tunnel étant lui-même chiffré, rien n'interdirait d'abandonner FTPES au profit de FTP, ce qui simplifierait le problème. Dans une telle topologie, le client pourrait même à travers son tunnel accéder à tous les nœuds de son réseau privé. Une solution comme ''openvpn'' supporte très bien de passer un routeur NAT, encore faudra-t-il que les pare-feux laissent passer le tunnel. Mais tout ceci est une [[280vpn:start|autre histoire ]].
Derrière un routeur NAT: Dernière modification le: 16/02/2025 à 14:36 par prof