regis wrote: > > > Que me conseillez vous pour faire un serveur ftp qui va avoir une dizaines de > personnes maximum en simultané a savoir qu'il seront autentifié et pas en > anonymes. (Les perssones ce conectant utiliseront aussi bien Windaube, MacOS > et GNU/Linux) ?
Ici, J'ai ces règles : # Si tu as deux serveurs FTP "virtuel", sur les ports 21, FTP_PORT_1 modprobe ip_conntrack_ftp ports=21,$FTP_PORT_1 # Autoriser les connexions déjà établie, et le connexion relative, comme par exemple le canal de donnée du protocole FTP. $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Autoriser le FTP entrants vers le serveur FTP port 21 $IPTABLES -A FORWARD -i $EXTERNAL_INTERFACE -o $INTERNAL_INTERFACE -p tcp --sport $UNPRIVPORTS -d $FTP_SERVER --dport 21 -m state --state NEW -j ACCEPT # Autoriser le FTP entrants vers le serveur FTP port FTP_PORT_1 $IPTABLES -A FORWARD -i $EXTERNAL_INTERFACE -o $INTERNAL_INTERFACE -p tcp --sport $UNPRIVPORTS -d $FTP_SERVER --dport $FTP_PORT_1 -m state --state NEW -j ACCEPT Et c'est tout, le module conntrack_ftp (de suivie de connexion) est capable de reconnaitre le mode normale ou le mode passif. Petit rappel sur Netfilter : L'etat NEW dectecte un nouvelle connection, niveau 4 OSI. La connection passe ensuite dans l'etat ESTABLISHED dans la table de suivie de connection. L'etat RELATED permet de vehiculer les paquets ICMP de contrôle de la connection, ou dans le cas du FTP (avec le module conntrack_ftp) de vehiculer le canal de données. L'etat NEW ne s'occupe pas des options des paquets TCP, Tu peux donc ajouter ces règles : $IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP $IPTABLES -A FORWARD -p tcp --syn -m state --state ESTABLISHED -j DROP Si le firewall et le serveur FTP sont sur la meme machine, remplace FORWARD par INPUT, et vire "-o $INTERNAL_INTERFACE" -- ============================================== | FREDERIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[EMAIL PROTECTED] | ===========================Debian=GNU/Linux=== -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]