Hello,

  ftp est problématique à faire fonctionner derrière un routeur en mode NAT, comme c'est certainement le cas chez toi. La faute au protocole ftp qui utilise une connexion de données séparée.

  Plutôt que d'utiliser ftp, tu peux utiliser du http simple (si mettre du contenu a disposition te suffit), ce qui a l'avantage de ne demander qu'un browser chez le client, d'être facile a encrypter avec SSL. Si tu veux également l'accès en écriture (un peu plus compliqué à mettre en place), tu peux utiliser WebDAV, ce qui a aussi l'avantage d'être montable directement par linux et par windows (aka "Dossier Web"). Cependant l'accès en local ne sera pas trivial.

  Tu peux aussi utiliser sftp, qui a l'avantage d'être crypté et authentifié par défaut, par exemple en créant un compte public sans mot de passe qui n'autorise que sftp. Les bons clients ftp sous linux supportent le protocole stfp, mais pas tous les autres.

  Dans ces deux cas, il te faudra configurer un port forwarding sur ton routeur, en spécifiant le port extérieur a forwarder (80 pour http, 443 pour https, 20 et 21 pour ftp (voir note), 22 pour ssh/sftp), l'hôte de destination (l'IP de ton serveur) et le port de destination (le même que le port à forwarder, sauf configuration particulière).

  Pour assigner une IP statique à ton serveur, prends-en juste une au bol dans la plage concernée (si tu ne connais pas jusqu'ou va la plage, garder les trois premiers composants de l'adresse IP est un choix conservateur). Si elle tombe par malheur dans la plage DHCP, le serveur DHCP devrait être assez intelligent pour le détecter et éviter les doublons (mais méfiance, méfiance). Evite juste de prendre celle utilisée par le routeur lui-même (généralement celle qui finit en .1 ou .254).

  Tu peux bien sûr rester sur un serveur ftp standard, et utiliser du port forwarding classique, mais ton serveur ne fonctionnera pas en mode passif, et il sera donc inaccessible par les personnes également derrière du NAT ou un firewall (vraisemblablement pas mal de gens...). Sinon, tu peux forwarder deux ports (contrôle + données) mais il faudra s'assurer que le serveur ftp utilise toujours le même port local lorsque le mode passif et demandé. Le détail de la config dépend du serveur ftp que tu utilises.

  Dernière solution, tu peux remplacer ton routeur wireless par un modem qui fonctionne sous linux, utiliser ton serveur comme routeur (s'il a deux interfaces réseau et une carte wireless qui supporte le mode AP sous linux, et si ton routeur actuel supporte le mode Bridge (forwarding layer 2)), ou acheter un routeur wireless dédié qui fonctionne sous linux (j'ai un Linksys WRT54G sous OpenWRT, ca marche très bien.). Le NAT ne gênera pas le fonctionnement du FTP si le routeur est sous linux et a le module iptables ip_conntrack_ftp actif, ET a condition que la connexion de cntrôle ne soit pas encryptée (gaffe a la configuration des modes et/ou à ton client si tu veux utiliser ftps. ftp over ssl ne fonctionnera pas.)

  D'autres questions ?

Okay, alors c'est plus facile. Il te faut:

- Assigner une IP interne statique à ton serveur (celle du DHCP n'est pas garantie stable, même si elle devrait le rester, sauf reboot du routeur ou pénurie d'adresses internes)

- Configurer du port forwarding (aussi appelé SUA ou DNAT) sur le routeur, sur les ports 20, 21, et sur une plage que tu choisis (disons par exemple 15000 à 16000). La config doit ressembler à quelque chose comme ça:

port                    host                   port
20                      192.168.1.40                20
21                      192.168.1.40                20
15000-16000     192.168.1.40     15000-16000

- Ajouter a ta config de proftpd les instructions suivantes:

PassivePorts 15000 16000 # les ports de la plage que tu as choisie
MasqueradeAddress 62.202.xx.xx # ton IP statique

Hello,

  En fait, n'importe laquelle de ces trois options devrait fonctionner:

- la 1ère correspond à ce que j'ai décrit, bien qu'effectivement ca soit pas super clair,
- la 2e est apparemment un raccourci pour faire le NAT sur tous les ports (1-65535)
- la 3e est pour faire un hybride routeur/bridge.

Je recommanderais plutôt la première, parce que:

- la 2e offre une surface d'attaque plus grande, même si elle est plus simple. Mieux vaut ne pas exposer a l'extérieur les ports qui ne sont pas censés servir a qqch.
- la 3e c'est assez laid point de vue architecture réseau, augmente encore plus la surface d'attaque,
et peut poser des problèmes intéressants si le serveur cible est mal configuré
- la 2 et la 3 t'obligent a avoir tous les services sur une seule machine => impossible de réserver une deuxième plage de ports pour ta machine de bureau, au cas ou tu voudrais faire tourner un torrent dessus par exemple.

Salut,
Assigne de 80 à 80.
A+.