FTP Multiwan

asgard009

Bonjour,

J'ai mis des ip virtuelles (option Proxy Arp) pour gérer les différentes adresses WAN pour ce qui est du nat classique (smtp pop imap http) pas de problèmes tout fonctionne, seul problème le ftp

Au niveau du wan et du lan (le ftp helper est coché)

Serveur ftp : 10.0.0.205

J'ai du faire une règle de nat de ce type :

WAN  TCP  21 (FTP)  10.0.0.205  IP virtuelle(ext.: 69.x.x.x) 21
WAN  TCP  21 (FTP)  10.0.0.205  IP virtuelle(ext.: 69.x.x.x) 8021

Dans mes rules j'ai ceci (cela m'a créé automatiquement ces règles) :

TCP  *  *  10.0.0.205  21 (FTP)  * 
TCP * * 69.x.x.x 21 (FTP) * 
TCP * * 10.0.0.205 8021 *  
TCP * * 69.x.x.x 8021 *

Le ftp ne fonctionne pas

Si j'enlève le ftp helper et que je supprime le port 8021 le ftp se lance mais sans avoir la possibilité d'avoir du mode passif.

La règle fonctionne bien si je gère une seule IP externe par contre si je gère plusieurs adresses externes ca semble bloqué je ne vois pas ce que je pourrais rajouter.

Via la commande pfctl j'ai ceci :

#pfctl -s nat

nat-anchor "pftpx/" all
nat-anchor "natearly/" all
nat-anchor "natrules/" all
nat on fxp0 inet from 10.0.0.0/8 port = isakmp to any port = isakmp -> (fxp0) port 500 round-robin
nat on fxp0 inet from 10.0.0.0/8 to any -> (fxp0) round-robin
rdr-anchor "pftpx/" all
rdr-anchor "slb" all
no rdr on fxp1 proto tcp from any to <vpns>port = ftp
rdr on fxp1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021
rdr on fxp0 inet proto tcp from any to any port = 2222 -> 10.0.0.100 port 22
rdr on fxp0 inet proto tcp from any to any port = smtp -> 10.0.0.100
rdr on fxp0 inet proto tcp from any to any port = 8888 -> 10.0.0.100 port 80
rdr on fxp0 inet proto tcp from any to any port = imap -> 10.0.0.100
rdr on fxp0 inet proto tcp from any to any port = 2525 -> 10.0.0.100 port 25
rdr on fxp0 inet proto tcp from any to 69.x.x.x (ip virtuelle) port = http -> 10.0.0.205
rdr-anchor "miniupnpd" all

Cordialement,</vpns>

vincel

Salut,

Le port 21 ne suffit pas à faire fonctionner le FTP il a le ou les ports qui permettent de passer en passiv
Tu trouveras plus d'infos ici je pense
http://forum.pfsense.org/index.php/topic,2282.msg13472.html#msg13472

Sinon n'hésites pas à poster de nouveau

A+
Vince