Re: [Confirme] Ftp via Firewall
Effectivement, la chaine forward (ou chaines utilisateurs appelées par elle) n'intercepte que les paquets, voulant sortir du réseaux, tel ke les connection ftp passif, mais lorsque j'essais le ftp passif sur le routeur lui meme c'est bien la chaine input de l'interface externe qui empeche ces paquets de rentrer. Je ne laisse pas rentrer par mon interface externes plus de paquets (ou de port) que je n'en laisse sortir du réseaux, cela me parait être du bon sens... Être moins retrictif dans mes rêgles de filtrage... Le problème c'est que le plage de port pouvant être utilisé par ce genre de FTP passif (tel que mes logs me les reporte) peut être très étendue. Ouvrir les vannes a toute cette plage de port me parait être sinon sucidaire, du moins asser gênant. Il es tellment incertain de prévoir les ports utilisé que je devrai être.. vraiment laxiste.. Je crois qu'il y a toujours un petit quelque chose qui m'échappe, mais je ne sais pas quoi. Merci de toute facon de votre aide. --- Yann-Erick Proy [EMAIL PROTECTED] a écrit : SysAdmin a écrit, le Jeudi 19 Juillet 2001 18:27 : De même , lorsque j'effectue un ftp en ligne de commande avec l'option -p (mode passif pour ne pas obtenir de tentative de connexion de la part du serveur sur mon réseau, ce qui serai rejeté par le pare feu), les même symptomes apparaissent : la Mea culpa, j'avais zappé cette information dans le message précédent ! connexion passe bien, mais dès que le protocole se met en mode passif, il génère une connexion d'un port source totalment aléatoire, sur un port destinatin qui ne l'es pas moins. Lorsque j'essais sur le site de Mandrake par exemple, voici un autre exemple de log : mon.ard.ip.privée:1932 194.158.99.23:56133 La j'avoue être un peu largué par ce comportement. Il me semble bien que l'explication est que le téléchargement passe un autre socket, qui, puisque tu es en mode passif, est ouvert par le client et non plus par le serveur. Si tes règles de pare-feu indiquent que tu ne désires faire de masquerading qu'en direction d'un certain nombre de ports (21, 25, 80, 110, etc) alors effectivement tu vas devoir faire un choix : 1/ relacher tes règles de parefeu, ou 2/ imposer le passage par un proxy FTP Pour ce qui est des paquets qui ne passent pas non plus quand le client FTP tourne sur le parefeu lui-même, tu ne me feras pas croire que c'est une règle forward qui les intercepte : c'est plutôt une règle input ou output. Et si tu as également fermé le traffic vers et depuis tous les ports que ceux que tu as choisis, là le proxy FTP ne pourra pas t'aider : ta configuration est trop restrictive pour les services que tu en attends. Configurer un pare-feu c'est trouver un juste équilibre entre services et sécurité. Le parefeu le plus efficace au monde est celui qu'on a débranché du net. Sécurité maximale, service zéro... :-) Amicalement, Yann -- Yann-Erick Proy -- [EMAIL PROTECTED] Quartz Informatique -- http://www.quartz.fr/ -- Annecy (F-74000) La diversité est source de richesse. ___ Do You Yahoo!? -- Vos albums photos en ligne, Yahoo! Photos : http://fr.photos.yahoo.com
Re: [Confirme] Ftp via Firewall
Bonsoir, Mandrake 8.0 utilise les ports 20 et 21, il faut bien sur si la machine est sous mdk que ces 2 ports puissent passer dans le firewal. Si c'est une autre machine, quels ports utilisent t'elle.. c'est tres souvent le cas de problème... andré Le Jeudi 19 Juillet 2001 11:00, vous avez écrit : Bonjour a tous, J'ai un problème pour télécharger des softs via les interfaces WEB des sites. Voici mon problème je vais essayer d'êre clair : j'ai mdrk 7.2 en routeur/firewall, qui masque un réseau interne. j'utilise ipchains pour les rêgles de filtrage des paquets. Mon pb que mes rêgles (que j'éssaie d'être assez retrictives) m'interdise de télécharger quoique ce soit lorsque c'est fait via l'interface web d'un site (que l'on nomme ftp passif il me semble...). Les ports sources et destinations on l'air d'être pris au hazard, sans convention. Voici un exemple de log : Packet log : forward REJECT ppp0 PROTO=6 mon.adr.ip.int:1671 141.41.5.16:33056 ect Le pb c'est qu'aucune rêgle de forward n'étant vérifiée, le paquet n'est pas passé par -j MASQ, et n'est donc pas masqué. J'ai essayé en chargeant et déchargeant le module ip_masq_ftp, et rien ne change. Queqlqu'un aurait-il une suggestion? Merci d'avance de votre aide ___ Do You Yahoo!? -- Vos albums photos en ligne, Yahoo! Photos : http://fr.photos.yahoo.com -- *** on4hu André *** e-mail: [EMAIL PROTECTED] e-mail2: [EMAIL PROTECTED] Web page: _/users.skynet.be/on4hu Web server: _www.on4hu.dynip.com Radioamateurs: [EMAIL PROTECTED] Radioamateurs TCP/IP:[EMAIL PROTECTED] Telnet:__on4hu.dynip.com
Re: [Confirme] Ftp via Firewall
SysAdmin a écrit, le Jeudi 19 Juillet 2001 17:00 : Mon pb que mes rêgles (que j'éssaie d'être assez retrictives) m'interdise de télécharger quoique ce soit lorsque c'est fait via l'interface web d'un site (que l'on nomme ftp passif il me semble...). Les ports sources et destinations on l'air d'être pris au hazard, sans convention. Voici un exemple de log : Disons que tu as deux flots en FTP : un flot de commandes, dirigé sur le port 21 du serveur, et, lors de téléchargements, un flot de données (data), pour lequel la connexion est initiée par le serveur ! Résultat, c'est un cauchemar pour le masquerading, puisqu'une machine de l'extérieur tente d'établir spontanément une connexion avec une machine de l'extérieur, et ce en s'adressant naïvement à l'adresse IP de la passerelle. C'est là qu'intervient le module ip_masq_ftp, qui permet à la passerelle de retrouver dans le réseau local la machine à laquelle essaie de s'adresser le serveur FTP. Packet log : forward REJECT ppp0 PROTO=6 mon.adr.ip.int:1671 141.41.5.16:33056 ect Le pb c'est qu'aucune rêgle de forward n'étant vérifiée, le paquet n'est pas passé par -j MASQ, et n'est donc pas masqué. Remarque pertinente ! Mais es-tu bien sûr qu'aucune règle en forward a joué ici ? C'est à dire que c'est bien la règle par défaut qui a rejeté le paquet en dernier ressort ? Parce qu'ici le paquet en question va de l'intérieur vers l'extérieur. On peut d'ailleurs imaginer qu'il s'agit d'un accusé de réception pour des paquets de data qui viennent d'être reçus. J'ai essayé en chargeant et déchargeant le module ip_masq_ftp, et rien ne change. Ce paquet qui va de l'intérieur à l'extérieur ne rentre pas dans le cadre de l'exception que doit gérér ip_masq_ftp, justement (extérieur _ intérieur). La première idée qui me vient à l'esprit est que tu as une règle en rejet pour forward définie avant même la règle de masquerading et qui se révèle abusive pour ce cas là. L'idéal serait de pouvoir consulter la liste de toutes tes règles... Si tu la considères comme confidentielle, tu peux me l'envoyer (*) en privé et compter sur ma discrétion. Amicalement, Yann (*) avec ta photo, pour le trombidrake... ;-))) -- Yann-Erick Proy -- [EMAIL PROTECTED] Quartz Informatique -- http://www.quartz.fr/ -- Annecy (F-74000) La diversité est source de richesse.
Re: [Confirme] Ftp via Firewall
Bonsoir, j'ai effectivement autorisé les port 20 et 21, néanmoins je voudrai apporter 2 précisions : Les problèmes surviennent, que je me connecte depuis un windaube sur le réseau privé, aussi bien que sur la mandrake situé sur le routeur. les même problème, les même symptomes. De même , lorsque j'effectue un ftp en ligne de commande avec l'option -p (mode passif pour ne pas obtenir de tentative de connexion de la part du serveur sur mon réseau, ce qui serai rejeté par le pare feu), les même symptomes apparaissent : la connexion passe bien, mais dès que le protocole se met en mode passif, il génère une connexion d'un port source totalment aléatoire, sur un port destinatin qui ne l'es pas moins. Lorsque j'essais sur le site de Mandrake par exemple, voici un autre exemple de log : mon.ard.ip.privée:1932 194.158.99.23:56133 La j'avoue être un peu largué par ce comportement. Merci de votre aide --- on4hu [EMAIL PROTECTED] a écrit : Bonsoir, Mandrake 8.0 utilise les ports 20 et 21, il faut bien sur si la machine est sous mdk que ces 2 ports puissent passer dans le firewal. Si c'est une autre machine, quels ports utilisent t'elle.. c'est tres souvent le cas de problème... andré Le Jeudi 19 Juillet 2001 11:00, vous avez écrit : Bonjour a tous, J'ai un problème pour télécharger des softs via les interfaces WEB des sites. Voici mon problème je vais essayer d'êre clair : j'ai mdrk 7.2 en routeur/firewall, qui masque un réseau interne. j'utilise ipchains pour les rêgles de filtrage des paquets. Mon pb que mes rêgles (que j'éssaie d'être assez retrictives) m'interdise de télécharger quoique ce soit lorsque c'est fait via l'interface web d'un site (que l'on nomme ftp passif il me semble...). Les ports sources et destinations on l'air d'être pris au hazard, sans convention. Voici un exemple de log : Packet log : forward REJECT ppp0 PROTO=6 mon.adr.ip.int:1671 141.41.5.16:33056 ect Le pb c'est qu'aucune rêgle de forward n'étant vérifiée, le paquet n'est pas passé par -j MASQ, et n'est donc pas masqué. J'ai essayé en chargeant et déchargeant le module ip_masq_ftp, et rien ne change. Queqlqu'un aurait-il une suggestion? Merci d'avance de votre aide ___ Do You Yahoo!? -- Vos albums photos en ligne, Yahoo! Photos : http://fr.photos.yahoo.com -- *** on4hu André *** e-mail: [EMAIL PROTECTED] e-mail2: [EMAIL PROTECTED] Web page: _/users.skynet.be/on4hu Web server: _www.on4hu.dynip.com Radioamateurs: [EMAIL PROTECTED] Radioamateurs TCP/IP:[EMAIL PROTECTED] Telnet:__on4hu.dynip.com ___ Do You Yahoo!? -- Vos albums photos en ligne, Yahoo! Photos : http://fr.photos.yahoo.com
Re: [Confirme] Ftp via Firewall
Merci Yannick de tes remarque pertinentes, je ne savais pas exactement le role joué par ip_masq_ftp. Plusieurs choses encore : pourquoi ip_masq_ftp, alors que bien chargé par les scipts de démarrage, et bien list par lsmod, est-il marqué [unused], et impossible a décharger? (pour ce faire j'ai modifié les scripts et rebooté). Deuxième choses, concernant ta remaque sur le foncionnement dex deux flots FTP. Je suis entièrement d'accord avec toi a ce sujet, dans le cas d'un ftp actif!! Mais ds mon cas, il s'ajit d'un ftp passif!! donc aucune tentative de connexion de la part du serveur pour contacter ma machine. troisième chose, et la c'est de ma faute, il ne s'agit pas de la chaine forward a proprement parler mais d'une chaine utilisateur créée pour des besoins de clareté, et qui fonctionnet dans le sens interne -- externe. Et je peux t'affirmer qu'aucune rêgle ne génère de rejet, puisque... aucune n'es programmée ds ce sens, mais qu'ils'agit de la rêgle finale ou police. en éspérant que j'ai été un peu plus clair... --- Yann-Erick Proy [EMAIL PROTECTED] a écrit : SysAdmin a écrit, le Jeudi 19 Juillet 2001 17:00 : Mon pb que mes rêgles (que j'éssaie d'être assez retrictives) m'interdise de télécharger quoique ce soit lorsque c'est fait via l'interface web d'un site (que l'on nomme ftp passif il me semble...). Les ports sources et destinations on l'air d'être pris au hazard, sans convention. Voici un exemple de log : Disons que tu as deux flots en FTP : un flot de commandes, dirigé sur le port 21 du serveur, et, lors de téléchargements, un flot de données (data), pour lequel la connexion est initiée par le serveur ! Résultat, c'est un cauchemar pour le masquerading, puisqu'une machine de l'extérieur tente d'établir spontanément une connexion avec une machine de l'extérieur, et ce en s'adressant naïvement à l'adresse IP de la passerelle. C'est là qu'intervient le module ip_masq_ftp, qui permet à la passerelle de retrouver dans le réseau local la machine à laquelle essaie de s'adresser le serveur FTP. Packet log : forward REJECT ppp0 PROTO=6 mon.adr.ip.int:1671 141.41.5.16:33056 ect Le pb c'est qu'aucune rêgle de forward n'étant vérifiée, le paquet n'est pas passé par -j MASQ, et n'est donc pas masqué. Remarque pertinente ! Mais es-tu bien sûr qu'aucune règle en forward a joué ici ? C'est à dire que c'est bien la règle par défaut qui a rejeté le paquet en dernier ressort ? Parce qu'ici le paquet en question va de l'intérieur vers l'extérieur. On peut d'ailleurs imaginer qu'il s'agit d'un accusé de réception pour des paquets de data qui viennent d'être reçus. J'ai essayé en chargeant et déchargeant le module ip_masq_ftp, et rien ne change. Ce paquet qui va de l'intérieur à l'extérieur ne rentre pas dans le cadre de l'exception que doit gérér ip_masq_ftp, justement (extérieur _ intérieur). La première idée qui me vient à l'esprit est que tu as une règle en rejet pour forward définie avant même la règle de masquerading et qui se révèle abusive pour ce cas là. L'idéal serait de pouvoir consulter la liste de toutes tes règles... Si tu la considères comme confidentielle, tu peux me l'envoyer (*) en privé et compter sur ma discrétion. Amicalement, Yann (*) avec ta photo, pour le trombidrake... ;-))) -- Yann-Erick Proy -- [EMAIL PROTECTED] Quartz Informatique -- http://www.quartz.fr/ -- Annecy (F-74000) La diversité est source de richesse. ___ Do You Yahoo!? -- Vos albums photos en ligne, Yahoo! Photos : http://fr.photos.yahoo.com
Re: [Confirme] Ftp via Firewall
SysAdmin a écrit, le Jeudi 19 Juillet 2001 18:27 : De même , lorsque j'effectue un ftp en ligne de commande avec l'option -p (mode passif pour ne pas obtenir de tentative de connexion de la part du serveur sur mon réseau, ce qui serai rejeté par le pare feu), les même symptomes apparaissent : la Mea culpa, j'avais zappé cette information dans le message précédent ! connexion passe bien, mais dès que le protocole se met en mode passif, il génère une connexion d'un port source totalment aléatoire, sur un port destinatin qui ne l'es pas moins. Lorsque j'essais sur le site de Mandrake par exemple, voici un autre exemple de log : mon.ard.ip.privée:1932 194.158.99.23:56133 La j'avoue être un peu largué par ce comportement. Il me semble bien que l'explication est que le téléchargement passe un autre socket, qui, puisque tu es en mode passif, est ouvert par le client et non plus par le serveur. Si tes règles de pare-feu indiquent que tu ne désires faire de masquerading qu'en direction d'un certain nombre de ports (21, 25, 80, 110, etc) alors effectivement tu vas devoir faire un choix : 1/ relacher tes règles de parefeu, ou 2/ imposer le passage par un proxy FTP Pour ce qui est des paquets qui ne passent pas non plus quand le client FTP tourne sur le parefeu lui-même, tu ne me feras pas croire que c'est une règle forward qui les intercepte : c'est plutôt une règle input ou output. Et si tu as également fermé le traffic vers et depuis tous les ports que ceux que tu as choisis, là le proxy FTP ne pourra pas t'aider : ta configuration est trop restrictive pour les services que tu en attends. Configurer un pare-feu c'est trouver un juste équilibre entre services et sécurité. Le parefeu le plus efficace au monde est celui qu'on a débranché du net. Sécurité maximale, service zéro... :-) Amicalement, Yann -- Yann-Erick Proy -- [EMAIL PROTECTED] Quartz Informatique -- http://www.quartz.fr/ -- Annecy (F-74000) La diversité est source de richesse.
Re: [Confirme] Ftp via Firewall
Yann-Erick Proy a écrit (un peu hâtivement), le Jeudi 19 Juillet 2001 18:19 : Résultat, c'est un cauchemar pour le masquerading, puisqu'une machine de l'extérieur tente d'établir spontanément une connexion avec une machine de l'extérieur, et ce en s'adressant naïvement à l'adresse IP de la ~ Erk... il fallait lire de l'INTERIEUR, bien sûr... Mais nos lecteurs auront rectifié d'eux même ! :-) Yann -- Yann-Erick Proy -- [EMAIL PROTECTED] Quartz Informatique -- http://www.quartz.fr/ -- Annecy (F-74000) La diversité est source de richesse.
[Confirme] Ftp via Firewall
Bonjour a tous, J'ai un problème pour télécharger des softs via les interfaces WEB des sites. Voici mon problème je vais essayer d'êre clair : j'ai mdrk 7.2 en routeur/firewall, qui masque un réseau interne. j'utilise ipchains pour les rêgles de filtrage des paquets. Mon pb que mes rêgles (que j'éssaie d'être assez retrictives) m'interdise de télécharger quoique ce soit lorsque c'est fait via l'interface web d'un site (que l'on nomme ftp passif il me semble...). Les ports sources et destinations on l'air d'être pris au hazard, sans convention. Voici un exemple de log : Packet log : forward REJECT ppp0 PROTO=6 mon.adr.ip.int:1671 141.41.5.16:33056 ect Le pb c'est qu'aucune rêgle de forward n'étant vérifiée, le paquet n'est pas passé par -j MASQ, et n'est donc pas masqué. J'ai essayé en chargeant et déchargeant le module ip_masq_ftp, et rien ne change. Queqlqu'un aurait-il une suggestion? Merci d'avance de votre aide ___ Do You Yahoo!? -- Vos albums photos en ligne, Yahoo! Photos : http://fr.photos.yahoo.com