Effectivement, la chaine forward (ou chaines
utilisateurs appelées par elle) n'intercepte que les
paquets, voulant sortir du réseaux, tel ke les
connection ftp passif, mais lorsque j'essais le ftp
passif sur le routeur lui meme c'est bien la chaine
input de l'interface externe qui empeche ces paquets
de rentrer.
Je ne laisse pas rentrer par mon interface externes
plus de paquets (ou de port) que je n'en laisse sortir
du réseaux, cela me parait être du bon sens...
Être moins retrictif dans mes rêgles de filtrage... Le
problème c'est que le plage de port pouvant être
utilisé par ce genre de FTP passif (tel que mes logs
me les reporte) peut être très étendue. Ouvrir les
vannes a toute cette plage de port me parait être
sinon sucidaire, du moins asser gênant. Il es tellment
incertain de prévoir les ports utilisé que je devrai
être.. vraiment laxiste.. Je crois qu'il y a toujours
un petit quelque chose qui m'échappe, mais je ne sais
pas quoi.
Merci de toute facon de votre aide.
--- Yann-Erick Proy <[EMAIL PROTECTED]> a écrit : >
"SysAdmin" a écrit, le Jeudi 19 Juillet 2001 18:27 :
>
> > De même , lorsque j'effectue un ftp en ligne de
> > commande avec l'option -p (mode passif pour ne pas
> > obtenir de tentative de connexion de la part du
> > serveur sur mon réseau, ce qui serai rejeté par le
> > pare feu), les même symptomes apparaissent : la
>
> Mea culpa, j'avais zappé cette information dans le
> message
> précédent !
>
> > connexion passe bien, mais dès que le protocole se
> met
> > en mode passif, il génère une connexion d'un port
> > source totalment aléatoire, sur un port destinatin
> qui
> > ne l'es pas moins.
> > Lorsque j'essais sur le site de Mandrake par
> exemple,
> > voici un autre exemple de log :
> mon.ard.ip.privée:1932
> > 194.158.99.23:56133
> >
> > La j'avoue être un peu largué par ce comportement.
>
> Il me semble bien que l'explication est que le
> téléchargement passe
> un autre socket, qui, puisque tu es en mode passif,
> est ouvert par le
> client et non plus par le serveur.
>
> Si tes règles de pare-feu indiquent que tu ne
> désires faire de
> masquerading qu'en direction d'un certain nombre de
> ports (21, 25,
> 80, 110, etc) alors effectivement tu vas devoir
> faire un choix :
>
> 1/ relacher tes règles de parefeu, ou
> 2/ imposer le passage par un proxy FTP
>
> Pour ce qui est des paquets qui ne passent pas non
> plus quand le
> client FTP tourne sur le parefeu lui-même, tu ne me
> feras pas croire
> que c'est une règle forward qui les intercepte :
> c'est plutôt une règle
> input ou output.
>
> Et si tu as également fermé le traffic vers et
> depuis tous les ports que
> ceux que tu as choisis, là le proxy FTP ne pourra
> pas t'aider : ta
> configuration est trop restrictive pour les services
> que tu en attends.
>
> Configurer un pare-feu c'est trouver un juste
> équilibre entre services
> et sécurité. Le parefeu le plus efficace au monde
> est celui qu'on a
> débranché du net. Sécurité maximale, service zéro...
> :-)
>
> Amicalement,
>
> Yann
>
> --
> Yann-Erick Proy -- [EMAIL PROTECTED]
> Quartz Informatique -- http://www.quartz.fr/ --
> Annecy (F-74000)
>
> La diversité est source de richesse.
>
___________________________________________________________
Do You Yahoo!? -- Vos albums photos en ligne,
Yahoo! Photos : http://fr.photos.yahoo.com
