"SysAdmin" a écrit, le Jeudi 19 Juillet 2001 18:27 :
> De même , lorsque j'effectue un ftp en ligne de
> commande avec l'option -p (mode passif pour ne pas
> obtenir de tentative de connexion de la part du
> serveur sur mon réseau, ce qui serai rejeté par le
> pare feu), les même symptomes apparaissent : la
Mea culpa, j'avais zappé cette information dans le message
précédent !
> connexion passe bien, mais dès que le protocole se met
> en mode passif, il génère une connexion d'un port
> source totalment aléatoire, sur un port destinatin qui
> ne l'es pas moins.
> Lorsque j'essais sur le site de Mandrake par exemple,
> voici un autre exemple de log : mon.ard.ip.privée:1932
> 194.158.99.23:56133
>
> La j'avoue être un peu largué par ce comportement.
Il me semble bien que l'explication est que le téléchargement passe
un autre socket, qui, puisque tu es en mode passif, est ouvert par le
client et non plus par le serveur.
Si tes règles de pare-feu indiquent que tu ne désires faire de
masquerading qu'en direction d'un certain nombre de ports (21, 25,
80, 110, etc) alors effectivement tu vas devoir faire un choix :
1/ relacher tes règles de parefeu, ou
2/ imposer le passage par un proxy FTP
Pour ce qui est des paquets qui ne passent pas non plus quand le
client FTP tourne sur le parefeu lui-même, tu ne me feras pas croire
que c'est une règle forward qui les intercepte : c'est plutôt une règle
input ou output.
Et si tu as également fermé le traffic vers et depuis tous les ports que
ceux que tu as choisis, là le proxy FTP ne pourra pas t'aider : ta
configuration est trop restrictive pour les services que tu en attends.
Configurer un pare-feu c'est trouver un juste équilibre entre services
et sécurité. Le parefeu le plus efficace au monde est celui qu'on a
débranché du net. Sécurité maximale, service zéro... :-)
Amicalement,
Yann
--
Yann-Erick Proy -- [EMAIL PROTECTED]
Quartz Informatique -- http://www.quartz.fr/ -- Annecy (F-74000)
La diversité est source de richesse.
