Bonjour,
j'ai un petit PC avec 2 cartes réseau qui me sert de gateway/router derrière une freebox.
J'ai configuré avec iptables le bouzin et tout marchait correctement depuis des années.
Il m'a pris l'idée saugrenue d'upgrader le matériel de ce PC, et d'en profiter pour réinstaller Archlinux dessus (le précédent avait plus de 5 ans de "vol").
L'opération s'est plutôt bien passée, mais en faisant des tests de toutes les fonctionnalités que j'avais configuré, je me suis aperçu que le FTP passif ne fonctionne plus.
Comme le réseau interne est natté, j'ai en place les modules nf_nat_ftp et nf_conntrack_ftp, avec la règle -j CT --helper ftp dans la chaîne PREROUTING de la table raw. Les paquets sont bien vu et marqués par cette chaîne.
En revanche, les paquets en retour ne sont pas reconnus : il arrivent dans la chaine INPUT de la gateway et sont donc légitimement rejetés.
Le comportement attendu est bien que les paquets soient "reconnus" et "nattés" par conntrack. Et il suffit, par exemple, d'autoriser les paquets à l'état "RELATED" à passer dans la chaîne FORWARD.
Je constate cela avec le noyau de base de archlinux, mais aussi avec les noyaux compilés manuellement (version 4.10.17 et 4.12.3)…
Avez-vous des idées, des pistes d'investigations ?
Merci !
# et le module est chargé ?
Posté par NeoX . Évalué à 2.
la commande
lsmod | grep ftpdevrait te dire si des modules liés à FTP sont chargés,si ce n'est pas le cas, il faut alors faire un
modprobe nf_nat_ftppour charger nf_nat_ftp, etc
[^] # Re: et le module est chargé ?
Posté par Knur . Évalué à 2.
C'est vrai que je ne l'ai pas précisé, mais oui, les modules sont bien chargés.
Merci pour la réponse :-)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.