Bonjour,
J'ai jamais testé cette fonctionnalité. Mais en lisant la doc
(http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle), pour
"/connection-type/" je vois :
/_Matches packets from __*related*__connections_ based on information
from their connection tracking helpers//
/
Le helper permet donc de choper les connections "related", la connexion
DATA dans le cas de ftp.
Mais il faut matcher la connexion de control autrement, probablement
soit en matchant tcp destination 21, soit par matching L7 si jamais tu
avais des serveur ftp écoutant sur des ports exotiques que tu ne
maitrise pas.
Par contre je ne sais pas si le fait d'accepter un connexion vers un
port tcp 21 suffit pour que le helper reconnaisse que c'est du ftp et
écoute pour identifier les ports des connexions DATA.
Je te laisse chercher dans cette direction... et nous tenir au courant
du résultat ;)
Bonne journée,
Fabrice
Le 18/11/2015 18:27, Oceanet - Cédric BASSAGET a écrit :
Donc le plugin ftp du mikrotik ne sert a rien ?
Cédric
On 18/11/2015 17:30, David Ponzone wrote:
J’allais le dire.
Un peu de lecture.
Mikrotik:
http://forum.mikrotik.com/viewtopic.php?t=25333
<http://forum.mikrotik.com/viewtopic.php?t=25333>
Reste le problème du PASSIVE FTP, et la lecture de ceci devrait aider:
http://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/
<http://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/>
Le 18 nov. 2015 à 17:22, Emmanuel Lacour <elac...@easter-eggs.com> a
écrit :
Le 18/11/2015 16:36, Oceanet - Cédric BASSAGET a écrit :
Soit il y a incompréhension sur ce que je souhaite faire, soit je n'ai
vraiment rien compris :)
Le problème du FTP est que je ne peux pas juste marquer les paquets
sur les ports 20 et 21, puisque les ports sont négociés après sur une
plage dynamique.
Et je ne souhaite pas le faire pour une destination spécifique non
plus...
en microtik je ne sais pas, mais en iptables CONNMARK dans un
moteur de
recherche te donneras rapidement la solution. En gros tu marques
l'initiation de la connexion avec MARK et tu marques les paquets
established,related via connmark pour qu'ils suivent le même chemin.
--
Easter-eggs Spécialiste GNU/Linux
44-46 rue de l'Ouest - 75014 Paris - France - Métro Gaité
Phone: +33 (0) 1 43 35 00 37 - Fax: +33 (0) 1 43 35 00 76
mailto:elac...@easter-eggs.com - http://www.easter-eggs.com
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
