Discussion :

[Ikalas]

Bonjour,


Je suis actuellement entrain de plancher sur un projet personnel et je bloque. J'ai un réseau qui s'apparente à ceci :




J'ai aussi un nom de domaine DNS qui pointe sur mon ip publique.

Mon problème :

Je voudrais que l'on puisse avoir accès aux FTP à partir de l'extérieur. J'avais pensé à la redirection de port avec iptables du style :

iptables -t nat -A PREROUTING -p tcp --dport <port> -j DNAT --to-destination <ipdestination>

Mais comme je possède 2 FTP, si je dis que tout ce qui arrive sur le port 20-21 est redirigé vers une des 2 ip's, je ne saurais jamais avoir l'accès vers l'autre FTP vu que je redirige tout vers le premier FTP.

Est ce quelqu'un à une idée pour résoudre mon problème ?

[BufferBob]

salut,

en fait ce qu'il te faudrait c'est un proxy mais au niveau ftp, qui reçoive les connexions et met en relation avec le bon serveur en fonction du hostname (fqdn) demandé

étonnamment ça semble exister (si ça n'avait pas été le cas je crois que je me serais amusé à le coder rien que pour le PoC/fun), même si ça tient plus du hack que du service rodé comme un squid :
[list][*] http://www.ftpproxy.org/[*] http://blog.blml.fr/reverse-proxy-ftp/
j'imagine que ça doit fonctionner, si t'as un retour d'expérience à l'occasion sur une archi avec qui prend quelques hits (stabilité du script, charge etc.) je suis preneur

edit: on me souffle dans l'oreillette que nginx permettrait également de faire proxy ftp

[Neckara]

Bonjour,

Il me semble que n'importe quel serveur web (apache, lighttpd), peut faire cela.


Pour apache, on a un mod_proxy_ftp.
Pour lighttpd, on a proxy.server.

[Ikalas]

Bonjour,

J'ai résolu mon problème mais pas avec un proxy FTP mais bien des règles iptables.

Ceci dis j'ai une autre question iptables au niveau de l'http et https. Le schémas reste le même sauf que sur un des ftp, j'ai une serveur apache qui héberge un site web. J'ai fais une redirection du port 80 vers ce serveur :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 10.0.1.1:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 10.0.1.1:443

eth0 = interface WAN

Le problème est que maintenant mes machines réseau de mon réseau local n'ont plus d'accès au WEB. Le ping passe, le DNS aussi mais vu que je redirige tout vers 10.0.1.1, impossible de lancer le téléchargement d'un nouveau paquet. Une solution ?

Merci

[Ikalas]

J'ai trouvé la solution, plutôt que de faire des redirection par iptables. J'ai utilisé le proxy de apache2