subject:"\[FRnOG\] \[TECH\] Mikrotik \/ plugin ftp"

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-19 Par sujet Fabrice Vincent


Bonjour,

J'ai jamais testé cette fonctionnalité. Mais en lisant la doc 
(http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle), pour 
"/connection-type/" je vois :
/_Matches packets from __*related*__connections_ based on information 
from their connection tracking helpers//

/
Le helper permet donc de choper les connections "related", la connexion 
DATA dans le cas de ftp.
Mais il faut matcher la connexion de control autrement, probablement 
soit en matchant tcp destination 21, soit par matching L7 si jamais tu 
avais des serveur ftp écoutant sur des ports exotiques que tu ne 
maitrise pas.


Par contre je ne sais pas si le fait d'accepter un connexion vers un 
port tcp 21 suffit pour que le helper reconnaisse que c'est du ftp et 
écoute pour identifier les ports des connexions DATA.


Je te laisse chercher dans cette direction... et nous tenir au courant 
du résultat  ;)


Bonne journée,
Fabrice


Le 18/11/2015 18:27, Oceanet - Cédric BASSAGET a écrit :

Donc le plugin ftp du mikrotik ne sert a rien ?

Cédric

On 18/11/2015 17:30, David Ponzone wrote:

J’allais le dire.
Un peu de lecture.

Mikrotik:
http://forum.mikrotik.com/viewtopic.php?t=25333 



Reste le problème du PASSIVE FTP, et la lecture de ceci devrait aider:
http://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/ 




Le 18 nov. 2015 à 17:22, Emmanuel Lacour  a 
écrit :


Le 18/11/2015 16:36, Oceanet - Cédric BASSAGET a écrit :

Soit il y a incompréhension sur ce que je souhaite faire, soit je n'ai
vraiment rien compris :)
Le problème du FTP est que je ne peux pas juste marquer les paquets
sur les ports 20 et 21, puisque les ports sont négociés après sur une
plage dynamique.
Et je ne souhaite pas le faire pour une destination spécifique non
plus...



en microtik je ne sais pas, mais en iptables  CONNMARK dans un 
moteur de

recherche te donneras rapidement la solution. En gros tu marques
l'initiation de la connexion avec MARK et tu marques les paquets
established,related via connmark pour qu'ils suivent le même chemin.



--
Easter-eggs  Spécialiste GNU/Linux
44-46 rue de l'Ouest  -  75014 Paris  -  France -  Métro Gaité
Phone: +33 (0) 1 43 35 00 37-   Fax: +33 (0) 1 43 35 00 76
mailto:elac...@easter-eggs.com  -   http://www.easter-eggs.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-19 Par sujet Oceanet - Cédric BASSAGET


Merci pour l'info, je vais essayer ça et je tiens la ML au courant :)

Cédric

On 19/11/2015 11:34, Fabrice Vincent wrote:

Bonjour,

J'ai jamais testé cette fonctionnalité. Mais en lisant la doc 
(http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle), pour 
"/connection-type/" je vois :
/_Matches packets from __*related*__connections_ based on information 
from their connection tracking helpers//

/
Le helper permet donc de choper les connections "related", la 
connexion DATA dans le cas de ftp.
Mais il faut matcher la connexion de control autrement, probablement 
soit en matchant tcp destination 21, soit par matching L7 si jamais tu 
avais des serveur ftp écoutant sur des ports exotiques que tu ne 
maitrise pas.


Par contre je ne sais pas si le fait d'accepter un connexion vers un 
port tcp 21 suffit pour que le helper reconnaisse que c'est du ftp et 
écoute pour identifier les ports des connexions DATA.


Je te laisse chercher dans cette direction... et nous tenir au courant 
du résultat  ;)


Bonne journée,
Fabrice


Le 18/11/2015 18:27, Oceanet - Cédric BASSAGET a écrit :

Donc le plugin ftp du mikrotik ne sert a rien ?

Cédric

On 18/11/2015 17:30, David Ponzone wrote:

J’allais le dire.
Un peu de lecture.

Mikrotik:
http://forum.mikrotik.com/viewtopic.php?t=25333 



Reste le problème du PASSIVE FTP, et la lecture de ceci devrait aider:
http://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/ 




Le 18 nov. 2015 à 17:22, Emmanuel Lacour  
a écrit :


Le 18/11/2015 16:36, Oceanet - Cédric BASSAGET a écrit :
Soit il y a incompréhension sur ce que je souhaite faire, soit je 
n'ai

vraiment rien compris :)
Le problème du FTP est que je ne peux pas juste marquer les paquets
sur les ports 20 et 21, puisque les ports sont négociés après sur une
plage dynamique.
Et je ne souhaite pas le faire pour une destination spécifique non
plus...



en microtik je ne sais pas, mais en iptables  CONNMARK dans un 
moteur de

recherche te donneras rapidement la solution. En gros tu marques
l'initiation de la connexion avec MARK et tu marques les paquets
established,related via connmark pour qu'ils suivent le même chemin.



--
Easter-eggs  Spécialiste GNU/Linux
44-46 rue de l'Ouest  -  75014 Paris  -  France -  Métro Gaité
Phone: +33 (0) 1 43 35 00 37-   Fax: +33 (0) 1 43 35 00 76
mailto:elac...@easter-eggs.com  - http://www.easter-eggs.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-19 Par sujet David Ponzone

Oui je suis arrivé à la même conclusion, mais la doc chez Mikrotik est quand 
même parfois des plus vagues….


> Le 19 nov. 2015 à 11:34, Fabrice Vincent  a 
> écrit :
> 
> Bonjour,
> 
> J'ai jamais testé cette fonctionnalité. Mais en lisant la doc 
> (http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle), pour 
> "/connection-type/" je vois :
> /_Matches packets from __*related*__connections_ based on information from 
> their connection tracking helpers//
> /
> Le helper permet donc de choper les connections "related", la connexion DATA 
> dans le cas de ftp.
> Mais il faut matcher la connexion de control autrement, probablement soit en 
> matchant tcp destination 21, soit par matching L7 si jamais tu avais des 
> serveur ftp écoutant sur des ports exotiques que tu ne maitrise pas.
> 
> Par contre je ne sais pas si le fait d'accepter un connexion vers un port tcp 
> 21 suffit pour que le helper reconnaisse que c'est du ftp et écoute pour 
> identifier les ports des connexions DATA.
> 
> Je te laisse chercher dans cette direction... et nous tenir au courant du 
> résultat  ;)
> 
> Bonne journée,
> Fabrice
> 
> 
> Le 18/11/2015 18:27, Oceanet - Cédric BASSAGET a écrit :
>> Donc le plugin ftp du mikrotik ne sert a rien ?
>> 
>> Cédric
>> 
>> On 18/11/2015 17:30, David Ponzone wrote:
>>> J’allais le dire.
>>> Un peu de lecture.
>>> 
>>> Mikrotik:
>>> http://forum.mikrotik.com/viewtopic.php?t=25333 
>>> 
>>> 
>>> Reste le problème du PASSIVE FTP, et la lecture de ceci devrait aider:
>>> http://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/ 
>>> 
>>> 
>>> 
 Le 18 nov. 2015 à 17:22, Emmanuel Lacour  a écrit 
 :
 
 Le 18/11/2015 16:36, Oceanet - Cédric BASSAGET a écrit :
> Soit il y a incompréhension sur ce que je souhaite faire, soit je n'ai
> vraiment rien compris :)
> Le problème du FTP est que je ne peux pas juste marquer les paquets
> sur les ports 20 et 21, puisque les ports sont négociés après sur une
> plage dynamique.
> Et je ne souhaite pas le faire pour une destination spécifique non
> plus...
> 
 
 en microtik je ne sais pas, mais en iptables  CONNMARK dans un moteur de
 recherche te donneras rapidement la solution. En gros tu marques
 l'initiation de la connexion avec MARK et tu marques les paquets
 established,related via connmark pour qu'ils suivent le même chemin.
 
 
 
 -- 
 Easter-eggs  Spécialiste GNU/Linux
 44-46 rue de l'Ouest  -  75014 Paris  -  France -  Métro Gaité
 Phone: +33 (0) 1 43 35 00 37-   Fax: +33 (0) 1 43 35 00 76
 mailto:elac...@easter-eggs.com  -   http://www.easter-eggs.com
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-18 Par sujet Oceanet - Cédric BASSAGET


Donc le plugin ftp du mikrotik ne sert a rien ?

Cédric

On 18/11/2015 17:30, David Ponzone wrote:

J’allais le dire.
Un peu de lecture.

Mikrotik:
http://forum.mikrotik.com/viewtopic.php?t=25333 


Reste le problème du PASSIVE FTP, et la lecture de ceci devrait aider:
http://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/ 




Le 18 nov. 2015 à 17:22, Emmanuel Lacour  a écrit :

Le 18/11/2015 16:36, Oceanet - Cédric BASSAGET a écrit :

Soit il y a incompréhension sur ce que je souhaite faire, soit je n'ai
vraiment rien compris :)
Le problème du FTP est que je ne peux pas juste marquer les paquets
sur les ports 20 et 21, puisque les ports sont négociés après sur une
plage dynamique.
Et je ne souhaite pas le faire pour une destination spécifique non
plus...



en microtik je ne sais pas, mais en iptables  CONNMARK dans un moteur de
recherche te donneras rapidement la solution. En gros tu marques
l'initiation de la connexion avec MARK et tu marques les paquets
established,related via connmark pour qu'ils suivent le même chemin.



--
Easter-eggs  Spécialiste GNU/Linux
44-46 rue de l'Ouest  -  75014 Paris  -  France -  Métro Gaité
Phone: +33 (0) 1 43 35 00 37-   Fax: +33 (0) 1 43 35 00 76
mailto:elac...@easter-eggs.com  -   http://www.easter-eggs.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-18 Par sujet Nicolas LEDUC

 

Exemple de la PCQ :
http://wiki.mikrotik.com/wiki/Manual:Queues_-_PCQ_Examples 

C'est quasi identique à ce que souhaite faire Cédric. 

Nicolas 

Le 2015-11-18 16:15, David Ponzone a écrit : 

> Nicolas,
> 
> Ca m'intéresse ton explication, mais j'ai pas tout compris.
> Tu pourrais reformuler STP ?
> 
> Merci
> Le 18 nov. 2015 à 14:41, Nicolas LEDUC  a écrit : Salut 
> Cédric, Attention, le mangle utilise des règles en "préférence". Il faut ton 
> /32 en règle 0 (src) et 1 (dst) en prerouting, action no-mark, et surtout ne 
> coche pas action passtrought et deux dernière prerouting du ton /24 plus loin 
> (en 2 et 3). Nicolas Le 2015-11-18 14:20, Oceanet - Cédric BASSAGET a écrit : 
> Bonjour, J'ai une colle à soumettre aux utilisateurs de mikrotik (rb750g ici, 
> testé en 6.31, 6.33 et 6.34rc5). je cherche a faire passer tout le ftp 
> sortant de mon LAN via un lien dédié. J'ai donc créé une règle qui marque les 
> paquets dans la table mangle : # /ip firewall mangle # add 
> action=mark-routing chain=prerouting comment="mark ftp" connection-type=ftp 
> new-routing-mark=ftp_WAN2 et dans ma table de routage, je route via le lien 
> les connections marqués (la route par défaut n'apparait pas ici, elle est 
> montée en dynamique via un PPPoE, mais elle est bien présente) : # /ip
  route #
add distance=1 gateway= routing-mark=ftp_WAN2 Problème : ma règle de 
mangle ne match jamais, et pourtant dans le connection tracking, je vois bien 
que la connexion qui est en type="ftp" : # /ip firewall connection print detail 
Flags: E - expected, S - seen-reply, A - assured, C - confirmed, D - dying, F - 
fasttrack, s - srcnat, d - dstnat ... 3 C s protocol=tcp 
src-address=192.168.0.200:52787 dst-address=:21 reply-src-address=3:21 reply-dst-address=:52787 tcp-state=established 
connection-type="ftp" timeout=23h49m7s p2p=none orig-packets=5 orig-bytes=290 
orig-fasttrack-packets=0 orig-fasttrack-bytes=0 repl-packets=0 repl-bytes=0 
repl-fasttrack-packets=0 repl-fasttrack-bytes=0 orig-rate=0bps repl-rate=0bps 
J'ai essayé Est-ce que quelqu'un aurait déjà rencontré le problème et / ou 
aurait une idée du pourquoi ? J'ai envoyé un mail au support mais pas encore de 
réponse. Merci pour vos retours ! Cédric --- Liste de
diffusion du FRnOG http://www.frnog.org/ [1] [1 [1]] -- Links: -- [1] 
http://www.frnog.org/ [1] --- Liste de diffusion du 
FRnOG http://www.frnog.org/ [1]

---
Liste de diffusion du FRnOG
http://www.frnog.org/ [1]

-- 

Links:
--
[1] http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-18 Par sujet David Ponzone

J’allais le dire.
Un peu de lecture.

Mikrotik:
http://forum.mikrotik.com/viewtopic.php?t=25333 


Reste le problème du PASSIVE FTP, et la lecture de ceci devrait aider:
http://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/ 



> Le 18 nov. 2015 à 17:22, Emmanuel Lacour  a écrit :
> 
> Le 18/11/2015 16:36, Oceanet - Cédric BASSAGET a écrit :
>> Soit il y a incompréhension sur ce que je souhaite faire, soit je n'ai
>> vraiment rien compris :)
>> Le problème du FTP est que je ne peux pas juste marquer les paquets
>> sur les ports 20 et 21, puisque les ports sont négociés après sur une
>> plage dynamique.
>> Et je ne souhaite pas le faire pour une destination spécifique non
>> plus...
>> 
> 
> 
> en microtik je ne sais pas, mais en iptables  CONNMARK dans un moteur de
> recherche te donneras rapidement la solution. En gros tu marques
> l'initiation de la connexion avec MARK et tu marques les paquets
> established,related via connmark pour qu'ils suivent le même chemin.
> 
> 
> 
> -- 
> Easter-eggs  Spécialiste GNU/Linux
> 44-46 rue de l'Ouest  -  75014 Paris  -  France -  Métro Gaité
> Phone: +33 (0) 1 43 35 00 37-   Fax: +33 (0) 1 43 35 00 76
> mailto:elac...@easter-eggs.com  -   http://www.easter-eggs.com
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-18 Par sujet Nicolas LEDUC

 

Bonjour David, 

Voici ce que j'ai fw à Cédric: 

 

Un action mark et non "non-mark", avec toutes mes excuses :) 

Donc 

1 - tu marque tes paquet via un mangle en dst et src > chain :
pretouting, dst/src, action : mark paket, new paket mark : un_nom, ton
interface, passtrought à non.
2 - Tu applique ta règle FTP à ce mangle :) 

Nicolas 

 

Nicolas 

Le 2015-11-18 16:15, David Ponzone a écrit : 

> Nicolas,
> 
> Ca m'intéresse ton explication, mais j'ai pas tout compris.
> Tu pourrais reformuler STP ?
> 
> Merci
> Le 18 nov. 2015 à 14:41, Nicolas LEDUC  a écrit : Salut 
> Cédric, Attention, le mangle utilise des règles en "préférence". Il faut ton 
> /32 en règle 0 (src) et 1 (dst) en prerouting, action no-mark, et surtout ne 
> coche pas action passtrought et deux dernière prerouting du ton /24 plus loin 
> (en 2 et 3). Nicolas Le 2015-11-18 14:20, Oceanet - Cédric BASSAGET a écrit : 
> Bonjour, J'ai une colle à soumettre aux utilisateurs de mikrotik (rb750g ici, 
> testé en 6.31, 6.33 et 6.34rc5). je cherche a faire passer tout le ftp 
> sortant de mon LAN via un lien dédié. J'ai donc créé une règle qui marque les 
> paquets dans la table mangle : # /ip firewall mangle # add 
> action=mark-routing chain=prerouting comment="mark ftp" connection-type=ftp 
> new-routing-mark=ftp_WAN2 et dans ma table de routage, je route via le lien 
> les connections marqués (la route par défaut n'apparait pas ici, elle est 
> montée en dynamique via un PPPoE, mais elle est bien présente) : # /ip
  route #
add distance=1 gateway= routing-mark=ftp_WAN2 Problème : ma règle de 
mangle ne match jamais, et pourtant dans le connection tracking, je vois bien 
que la connexion qui est en type="ftp" : # /ip firewall connection print detail 
Flags: E - expected, S - seen-reply, A - assured, C - confirmed, D - dying, F - 
fasttrack, s - srcnat, d - dstnat ... 3 C s protocol=tcp 
src-address=192.168.0.200:52787 dst-address=:21 reply-src-address=3:21 reply-dst-address=:52787 tcp-state=established 
connection-type="ftp" timeout=23h49m7s p2p=none orig-packets=5 orig-bytes=290 
orig-fasttrack-packets=0 orig-fasttrack-bytes=0 repl-packets=0 repl-bytes=0 
repl-fasttrack-packets=0 repl-fasttrack-bytes=0 orig-rate=0bps repl-rate=0bps 
J'ai essayé Est-ce que quelqu'un aurait déjà rencontré le problème et / ou 
aurait une idée du pourquoi ? J'ai envoyé un mail au support mais pas encore de 
réponse. Merci pour vos retours ! Cédric --- Liste de
diffusion du FRnOG http://www.frnog.org/ [1] [1 [1]] -- Links: -- [1] 
http://www.frnog.org/ [1] --- Liste de diffusion du 
FRnOG http://www.frnog.org/ [1]

---
Liste de diffusion du FRnOG
http://www.frnog.org/ [1]

-- 

Links:
--
[1] http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-18 Par sujet Emmanuel Lacour

Le 18/11/2015 16:36, Oceanet - Cédric BASSAGET a écrit :
> Soit il y a incompréhension sur ce que je souhaite faire, soit je n'ai
> vraiment rien compris :)
> Le problème du FTP est que je ne peux pas juste marquer les paquets
> sur les ports 20 et 21, puisque les ports sont négociés après sur une
> plage dynamique.
> Et je ne souhaite pas le faire pour une destination spécifique non
> plus...
>


en microtik je ne sais pas, mais en iptables  CONNMARK dans un moteur de
recherche te donneras rapidement la solution. En gros tu marques
l'initiation de la connexion avec MARK et tu marques les paquets
established,related via connmark pour qu'ils suivent le même chemin.



-- 
Easter-eggs  Spécialiste GNU/Linux
44-46 rue de l'Ouest  -  75014 Paris  -  France -  Métro Gaité
Phone: +33 (0) 1 43 35 00 37-   Fax: +33 (0) 1 43 35 00 76
mailto:elac...@easter-eggs.com  -   http://www.easter-eggs.com


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-18 Par sujet David Ponzone

Nicolas,

Ca m’intéresse ton explication, mais j’ai pas tout compris.
Tu pourrais reformuler STP ?

Merci



> Le 18 nov. 2015 à 14:41, Nicolas LEDUC  a écrit :
> 
> 
> 
> Salut Cédric, 
> 
> Attention, le mangle utilise des règles en "préférence". 
> 
> Il faut ton /32 en règle 0 (src) et 1 (dst) en prerouting, action
> no-mark, et surtout ne coche pas action passtrought et deux dernière
> prerouting du ton /24 plus loin (en 2 et 3). 
> 
> Nicolas 
> 
> Le 2015-11-18 14:20, Oceanet - Cédric BASSAGET a écrit : 
> 
>> Bonjour,
>> 
>> J'ai une colle à soumettre aux utilisateurs de mikrotik (rb750g ici, testé 
>> en 6.31, 6.33 et 6.34rc5).
>> 
>> je cherche a faire passer tout le ftp sortant de mon LAN via un lien dédié.
>> 
>> J'ai donc créé une règle qui marque les paquets dans la table mangle :
>> # /ip firewall mangle
>> # add action=mark-routing chain=prerouting comment="mark ftp" 
>> connection-type=ftp new-routing-mark=ftp_WAN2
>> 
>> et dans ma table de routage, je route via le lien les connections marqués 
>> (la route par défaut n'apparait pas ici, elle est montée en dynamique via un 
>> PPPoE, mais elle est bien présente) :
>> # /ip route
>> # add distance=1 gateway= routing-mark=ftp_WAN2
>> 
>> Problème : ma règle de mangle ne match jamais, et pourtant dans le 
>> connection tracking, je vois bien que la connexion qui est en type="ftp" :
>> 
>> # /ip firewall connection print detail
>> Flags: E - expected, S - seen-reply, A - assured, C - confirmed, D - dying, 
>> F - fasttrack, s - srcnat, d - dstnat
>> ...
>> 3 C s protocol=tcp src-address=192.168.0.200:52787 dst-address=:21 
>> reply-src-address=3:21 reply-dst-address=:52787 
>> tcp-state=established connection-type="ftp"
>> timeout=23h49m7s p2p=none orig-packets=5 orig-bytes=290 
>> orig-fasttrack-packets=0 orig-fasttrack-bytes=0 repl-packets=0 repl-bytes=0 
>> repl-fasttrack-packets=0 repl-fasttrack-bytes=0
>> orig-rate=0bps repl-rate=0bps
>> 
>> J'ai essayé
>> 
>> Est-ce que quelqu'un aurait déjà rencontré le problème et / ou aurait une 
>> idée du pourquoi ? J'ai envoyé un mail au support mais pas encore de réponse.
>> 
>> Merci pour vos retours !
>> Cédric
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/ [1]
> 
> -- 
> 
> Links:
> --
> [1] http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-18 Par sujet Oceanet - Cédric BASSAGET

Soit il y a incompréhension sur ce que je souhaite faire, soit je n'ai 
vraiment rien compris :)
Le problème du FTP est que je ne peux pas juste marquer les paquets sur 
les ports 20 et 21, puisque les ports sont négociés après sur une plage 
dynamique.

Et je ne souhaite pas le faire pour une destination spécifique non plus...

j'ai essayé de modifier ma regle de mangle un peu dans tous les sens. Si 
je mets l'IP publique du serveur FTP sur lequel je vais taper, ça marche 
niquel, je sors bien par le bon lien.


Cédric

On 18/11/2015 16:22, Nicolas LEDUC wrote:


Exemple de la PCQ : 
http://wiki.mikrotik.com/wiki/Manual:Queues_-_PCQ_Examples


C'est quasi identique à ce que souhaite faire Cédric.

Nicolas

Le 2015-11-18 16:15, David Ponzone a écrit :


Nicolas,

Ca m'intéresse ton explication, mais j'ai pas tout compris.
Tu pourrais reformuler STP ?

Merci
Le 18 nov. 2015 à 14:41, Nicolas LEDUC > a écrit : Salut Cédric, Attention, le 
mangle utilise des règles en "préférence". Il faut ton /32 en règle 
0 (src) et 1 (dst) en prerouting, action no-mark, et surtout ne 
coche pas action passtrought et deux dernière prerouting du ton /24 
plus loin (en 2 et 3). Nicolas Le 2015-11-18 14:20, Oceanet - Cédric 
BASSAGET a écrit :
Bonjour, J'ai une colle à soumettre aux utilisateurs de mikrotik 
(rb750g ici, testé en 6.31, 6.33 et 6.34rc5). je cherche a faire 
passer tout le ftp sortant de mon LAN via un lien dédié. J'ai donc 
créé une règle qui marque les paquets dans la table mangle : # /ip 
firewall mangle # add action=mark-routing chain=prerouting 
comment="mark ftp" connection-type=ftp new-routing-mark=ftp_WAN2 et 
dans ma table de routage, je route via le lien les connections 
marqués (la route par défaut n'apparait pas ici, elle est montée en 
dynamique via un PPPoE, mais elle est bien présente) : # /ip route 
# add distance=1 gateway= routing-mark=ftp_WAN2 Problème : 
ma règle de mangle ne match jamais, et pourtant dans le connection 
tracking, je vois bien que la connexion qui est en type="ftp" : # 
/ip firewall connection print detail Flags: E - expected, S - 
seen-reply, A - assured, C - confirmed, D - dying, F - fasttrack, s 
- srcnat, d - dstnat ... 3 C s protocol=tcp 
src-address=192.168.0.200:52787 dst-address=:21 
reply-src-address=3:21 reply-dst-address=:52787 
tcp-state=established connection-type="ftp" timeout=23h49m7s 
p2p=none orig-packets=5 orig-bytes=290 orig-fasttrack-packets=0 
orig-fasttrack-bytes=0 repl-packets=0 repl-bytes=0 
repl-fasttrack-packets=0 repl-fasttrack-bytes=0 orig-rate=0bps 
repl-rate=0bps J'ai essayé Est-ce que quelqu'un aurait déjà 
rencontré le problème et / ou aurait une idée du pourquoi ? J'ai 
envoyé un mail au support mais pas encore de réponse. Merci pour 
vos retours ! Cédric --- Liste de diffusion 
du FRnOG http://www.frnog.org/ [1 ]
-- Links: -- [1] http://www.frnog.org/ 
--- Liste de diffusion du FRnOG 
http://www.frnog.org/ 

---
Liste de diffusion du FRnOG
http://www.frnog.org/


--



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-18 Par sujet Nicolas LEDUC

 

Salut Cédric, 

Attention, le mangle utilise des règles en "préférence". 

Il faut ton /32 en règle 0 (src) et 1 (dst) en prerouting, action
no-mark, et surtout ne coche pas action passtrought et deux dernière
prerouting du ton /24 plus loin (en 2 et 3). 

Nicolas 

Le 2015-11-18 14:20, Oceanet - Cédric BASSAGET a écrit : 

> Bonjour,
> 
> J'ai une colle à soumettre aux utilisateurs de mikrotik (rb750g ici, testé en 
> 6.31, 6.33 et 6.34rc5).
> 
> je cherche a faire passer tout le ftp sortant de mon LAN via un lien dédié.
> 
> J'ai donc créé une règle qui marque les paquets dans la table mangle :
> # /ip firewall mangle
> # add action=mark-routing chain=prerouting comment="mark ftp" 
> connection-type=ftp new-routing-mark=ftp_WAN2
> 
> et dans ma table de routage, je route via le lien les connections marqués (la 
> route par défaut n'apparait pas ici, elle est montée en dynamique via un 
> PPPoE, mais elle est bien présente) :
> # /ip route
> # add distance=1 gateway= routing-mark=ftp_WAN2
> 
> Problème : ma règle de mangle ne match jamais, et pourtant dans le connection 
> tracking, je vois bien que la connexion qui est en type="ftp" :
> 
> # /ip firewall connection print detail
> Flags: E - expected, S - seen-reply, A - assured, C - confirmed, D - dying, F 
> - fasttrack, s - srcnat, d - dstnat
> ...
> 3 C s protocol=tcp src-address=192.168.0.200:52787 dst-address=:21 
> reply-src-address=3:21 reply-dst-address=:52787 
> tcp-state=established connection-type="ftp"
> timeout=23h49m7s p2p=none orig-packets=5 orig-bytes=290 
> orig-fasttrack-packets=0 orig-fasttrack-bytes=0 repl-packets=0 repl-bytes=0 
> repl-fasttrack-packets=0 repl-fasttrack-bytes=0
> orig-rate=0bps repl-rate=0bps
> 
> J'ai essayé
> 
> Est-ce que quelqu'un aurait déjà rencontré le problème et / ou aurait une 
> idée du pourquoi ? J'ai envoyé un mail au support mais pas encore de réponse.
> 
> Merci pour vos retours !
> Cédric
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ [1]

-- 

Links:
--
[1] http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Mikrotik / plugin ftp

2015-11-18 Par sujet Oceanet - Cédric BASSAGET


Bonjour,

J'ai une colle à soumettre aux utilisateurs de mikrotik (rb750g ici, 
testé en 6.31, 6.33 et 6.34rc5).


je cherche a faire passer tout le ftp sortant de mon LAN via un lien dédié.

J'ai donc créé une règle qui marque les paquets dans la table mangle :
# /ip firewall mangle
# add action=mark-routing chain=prerouting comment="mark ftp" 
connection-type=ftp new-routing-mark=ftp_WAN2


et dans ma table de routage, je route via le lien les connections 
marqués (la route par défaut n'apparait pas ici, elle est montée en 
dynamique via un PPPoE, mais elle est bien présente) :

# /ip route
# add distance=1 gateway= routing-mark=ftp_WAN2

Problème : ma règle de mangle ne match jamais, et pourtant dans le 
connection tracking, je vois bien que la connexion qui est en type="ftp" :


# /ip firewall connection print detail
Flags: E - expected, S - seen-reply, A - assured, C - confirmed, D - 
dying, F - fasttrack, s - srcnat, d - dstnat

...
 3C  s  protocol=tcp src-address=192.168.0.200:52787 
dst-address=:21 reply-src-address=3:21 
reply-dst-address=:52787 tcp-state=established 
connection-type="ftp"
timeout=23h49m7s p2p=none orig-packets=5 orig-bytes=290 
orig-fasttrack-packets=0 orig-fasttrack-bytes=0 repl-packets=0 
repl-bytes=0 repl-fasttrack-packets=0 repl-fasttrack-bytes=0

orig-rate=0bps repl-rate=0bps

J'ai essayé

Est-ce que quelqu'un aurait déjà rencontré le problème et / ou aurait 
une idée du pourquoi ? J'ai envoyé un mail au support mais pas encore de 
réponse.


Merci pour vos retours !
Cédric


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

Re: [FRnOG] [TECH] Mikrotik / plugin ftp

[FRnOG] [TECH] Mikrotik / plugin ftp

12 matches

Site Navigation

Mail list logo

Footer information