[iptables] ftp put depuis un post avec firewell et proxy
Bonjour, J'ai un problême pour faire du ftp put depuis un poste masqueradé par un routeur debian. Quand je me mets en masquerading pur, avec tout en ACCEPT, et juste un règle de masquerading, je peux déposer un fichier en ftp. Le masq n'est donc pas en cause. Par contre, dès que je mets une policy DROP par défaut en INPUT sur la table filter, je n'ai plus de possibilité de passer, ni même en mode ftp passif. J'ai pourtant une règle ACCEPT pour les flags ESTABLISHED,RELATED. Je précise aussi que je redirige les demandes sur les ports 20:21 vers un proxy frox en transparent, mais quand je desactive la redirection, ça ne passe pas mieux. La seule solution que j'ai trouvée en regardant les paquets, est d'ouvrir les requètes en provenance du port 20 du serveur ftp ou je veux déposer. Personne n'aurait une explication, et une solution plus propre que d'ouvrir tout ce qui vient d'un port sur une machine que je ne controle pas ? smime.p7s Description: S/MIME cryptographic signature
[iptables] ftp put depuis un post avec firewell et proxy
Bonjour, J'ai un problème pour faire du ftp put depuis un poste masqueradé par un routeur debian. Quand je me mets en masquerading pur, avec tout en ACCEPT, et juste un règle de masquerading, je peux déposer un fichier en ftp. Le masq n'est donc pas en cause. Par contre, dès que je mets une policy DROP par défaut en INPUT sur la table filter, je n'ai plus de possibilité de passer, ni même en mode ftp passif. J'ai pourtant une règle ACCEPT pour les flags ESTABLISHED,RELATED. Je précise aussi que je redirige les demandes sur les ports 20:21 vers un proxy frox en transparent, mais quand je desactive la redirection, ça ne passe pas mieux. La seule solution que j'ai trouvée en regardant les paquets, est d'ouvrir les requètes en provenance du port 20 du serveur ftp ou je veux déposer. Personne n'aurait une explication, et une solution plus propre que d'ouvrir tout ce qui vient d'un port sur une machine que je ne controle pas ?
Re: [iptables] ftp put depuis un post avec firewell et proxy
Salut, raphael a écrit : J'ai un problême pour faire du ftp put depuis un poste masqueradé par un routeur debian. Les modules ip_conntrack_ftp et ip_nat_ftp sont-ils bien chargés ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Iptables FTP
Salut j'ai un petit souci et je ne vois vraiment pas comment le résoudre J'ai un serveur FTP derrière un firewall (sous iptables noyau 2.4.18) Donc j'autorise une machine de mon lan a ce connecte au serveur ftp iptables -A INPUT -i eth0 -s 192.168.0.7 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.0.7 -m state --state ESTABLISHED -p tcp --sport 21 -j ACCEPT Ensuite je me connecte de la machine 192.168.0.7 [EMAIL PROTECTED] regis]$ ftp ftp open 192.168.0.1 Connected to 192.168.0.1 (192.168.0.1). 220 ProFTPD 1.2.0pre10 Server (Debian) [routeur] Name (192.168.0.1:regis): 331 Password required for regis. Password: 230 User regis logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp ls 227 Entering Passive Mode (192,168,0,1,12,92). ftp: connect: Connection timed out ftp Voila le problème je suis bien connecté a mon serveur ftp mais je ne peux lui passer aucune commande :-(( Par contre quand je désactive mon firewall tous marche donc pas de problème du coté du serveur FTP Donc si vous avez des idées je suis preneurs A+ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
J'ai un serveur FTP derrière un firewall (sous iptables noyau 2.4.18) Donc j'autorise une machine de mon lan a ce connecte au serveur ftp iptables -A INPUT -i eth0 -s 192.168.0.7 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.0.7 -m state --state ESTABLISHED -p tcp --sport 21 -j ACCEPT Peux-être une histoire avec le passive mode. Bout de routine que j'utilise chez moi : # Passive ftp # Nécessite ip_conntrack_ftp iptables -A ext-lo -p tcp --sport 1024:65535 --dport 1024:65535 \ -m state --state ESTABLISHED -j ACCEPT iptables -A ext-lo -p tcp --sport 1024:65535 --dport 1024:65535 \ -m state --state ESTABLISHED,RELATED -j ACCEPT .. . Linux - Debian - php4 - Apache - MySQL - Infogerance . . email: [EMAIL PROTECTED] - http://www.actionweb.fr . . Tel: (0)141 906 100-Fax: (0)141 906 101. .. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Le mer 19/06/2002 à 11:26, regis a écrit : iptables -A INPUT -i eth0 -s 192.168.0.7 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -o eth0 -d 192.168.0.7 -m state --state ESTABLISHED -p tcp --sport 21 -j ACCEPT Tu doit aussi ouvrir le port 20 pour les datas, (grep ftp /etc/services), et les ports au dessus de 1024 pour les ports sources des utilisateurs... Ensuite je me connecte de la machine 192.168.0.7 [EMAIL PROTECTED] regis]$ ftp ftp open 192.168.0.1 Connected to 192.168.0.1 (192.168.0.1). 220 ProFTPD 1.2.0pre10 Server (Debian) [routeur] Name (192.168.0.1:regis): 331 Password required for regis. Password: 230 User regis logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp ls 227 Entering Passive Mode (192,168,0,1,12,92). ftp: connect: Connection timed out ftp Le mode passif permet de vehiculer les commandes et les données dans le port 21, alors que le mode actif distingue les commandes des données. Dans ton cas je ne vois pas pourquoi il y a un time out, peut être que tu n'acceptes pas quelque chose avec le firewall... Par contre quand je désactive mon firewall tous marche donc pas de problème du coté du serveur FTP Donc si vous avez des idées je suis preneurs A+ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- (o_ //\ V_/_ Debian GNU/Linux user. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
On mercredi, juin 19, 2002, at 11:26 , regis wrote: Voila le problème je suis bien connecté a mon serveur ftp mais je ne peux lui passer aucune commande :-(( Par contre quand je désactive mon firewall tous marche donc pas de problème du coté du serveur FTP Donc si vous avez des idées je suis preneurs Hello ! Peut-être : sur ton serveur ftp : # /sbin/modprobe ip_conntrack_ftp # iptables -t filter -P INPUT DROP # iptables -A INPUT -i eth0 -s 192.168.0.7 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A INPUT -i eth0 -s 192.168.0.7 -p tcp --dport 21 -j ACCEPT R. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Décidément, les Régis ont envahi la liste aujourd'hui ;) Et oui ;-) les gard esprit ce rencontrent ;o)) Dans mon firewall j'ai mis les ports 20 et 21 pour les 2 premiers et j'ai ouvert une plage de ports pour le 2è (j'ai mis 10 ports parce que j'ai estimé que c'était assez). Peux tu me montrer un exemple svp ? Car c'est bon maintenant j'ai ouvert les 2 ports Ensuite dans proftp, j'ai mis : PassivePorts 1 10010 Quand je rajoute celas a proftpd voila ce qu'il me retourne :-( Peux tu m'envoyez ton fichier de conf svp celas me permetras de voir comment tu as procédé Fatal: unknown configuration directive 'PassivePorts 1 10010' on line 2 of '/etc/proftpd.conf Régis (un autre, ils sont partout, l'invasin a commencé ;) tu as entierement raison A+ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Le Mercredi 19 Juin 2002 12:13, Rénald CASAGRAUDE a écrit : On mercredi, juin 19, 2002, at 11:26 , regis wrote: Voila le problème je suis bien connecté a mon serveur ftp mais je ne peux lui passer aucune commande :-(( Par contre quand je désactive mon firewall tous marche donc pas de problème du coté du serveur FTP Donc si vous avez des idées je suis preneurs Hello ! Peut-être : sur ton serveur ftp : # /sbin/modprobe ip_conntrack_ftp # iptables -t filter -P INPUT DROP # iptables -A INPUT -i eth0 -s 192.168.0.7 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A INPUT -i eth0 -s 192.168.0.7 -p tcp --dport 21 -j ACCEPT Non celas ne marche pas :-( Merci quand même de ton aide Apparament il faut que j'utilise le related Extrait de la manpages: «and RELATED meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error» Donc je continue mes recherches et des que j'y arrive je vous explqiue comment j'ai fait ;-) A+ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Le mer 19/06/2002 à 12:54, regis a écrit : Décidément, les Régis ont envahi la liste aujourd'hui ;) Et oui ;-) les gard esprit ce rencontrent ;o)) Dans mon firewall j'ai mis les ports 20 et 21 pour les 2 premiers et j'ai ouvert une plage de ports pour le 2è (j'ai mis 10 ports parce que j'ai estimé que c'était assez). Peux tu me montrer un exemple svp ? Ben... j'ai ouvert les ports 20,21 et 1:10010, tu veux quoi exactement comme exmeple ? Car c'est bon maintenant j'ai ouvert les 2 ports Ensuite dans proftp, j'ai mis : PassivePorts 1 10010 Quand je rajoute celas a proftpd voila ce qu'il me retourne :-( Peux tu m'envoyez ton fichier de conf svp celas me permetras de voir comment tu as procédé Fatal: unknown configuration directive 'PassivePorts 1 10010' on line 2 of '/etc/proftpd.conf Arg, j'avoue que mon proftp, je l'ai recompilé, c'est pas un paquet deb... Du coup je sais pas pourquoi il ne veut pas, option de compilation ? Je sais pas trop quoi te dire... Je vais t'envoyer en privé mon fichier proftpd.conf Sinon, ici : http://proftpd.linux.co.uk/localsite/Userguide/linked/x310.html Ils disent qu'ouvrir le port 20 et le port 21 suffit. Régis. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE : Iptables FTP
Une exemple si tu force ton passif sur le range 1-10010, et que tu garde les deux modes possibles #-- FTP $IPTABLES --append INPUT --protocol tcp --source-port $PUBLIC_PORT --destination $IP --destination-port 21 --jump ACCEPT $IPTABLES --append OUTPUT --protocol tcp -source $IP --source-port 21 --destination 0/0 --destination-port $PUBLIC_PORT --jump ACCEPT # #-- FTP-DATA $IPTABLES --append INPUT --protocol tcp $INT_EXT -m state --state RELATED --source-port $PUBLIC_PORT --destination $IP --destination-port 20 --jump ACCEPT $IPTABLES --append OUTPUT --protocol tcp --source $IP --source-port 20 --destination 0/0 --destination-port $PUBLIC_PORT --jump ACCEPT # #-- FTP-PASV $IPTABLES --append INPUT --protocol tcp -m state --state RELATED --source-port $PUBLIC_PORT --destination $IP --destination-port 1:10010 --jump ACCEPT $IPTABLES --append OUTPUT --protocol tcp --source $IP --source-port 1:10010 --destination 0/0 --destination-port $PUBLIC_PORT --jump ACCEPT Si je me trompe pas -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Salut, Essaie ça, chez moi ça marche : modprobe ip_nat_ftp modprobe ip_conntrack_ftp PORTS=1024:65535 IFACEINT=eth0 iptables -A INPUT -i $IFACEINT -p tcp --sport 21 -m state --state NEW,ESTABLISH ED,RELATED -j ACCEPT iptables -A OUTPUT -o $IFACEINT -p tcp --dport 21 -m state --state NEW,ESTABLISH ED,RELATED -j ACCEPT # ftp actif iptables -A INPUT -i $IFACEINT -p tcp --sport 20 -m state --state ESTABLISHED,R ELATED -j ACCEPT iptables -A OUTPUT -o $IFACEINT -p tcp --dport 20 -m state --state ESTABLISHED - j ACCEPT #ftp passif iptables -A INPUT -i $IFACEINT -p tcp --sport $PORTS --dport $PORTS -m state -- state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $IFACEINT -p tcp --sport $PORTS --dport $PORTS -m state -- state ESTABLISHED,RELATED -j ACCEPT Bon courage, Guillaume On Wed, 19 Jun 2002 12:58:24 +0200 regis [EMAIL PROTECTED] wrote: Le Mercredi 19 Juin 2002 12:13, Rénald CASAGRAUDE a écrit : On mercredi, juin 19, 2002, at 11:26 , regis wrote: Voila le problème je suis bien connecté a mon serveur ftp mais je ne peux lui passer aucune commande :-(( Par contre quand je désactive mon firewall tous marche donc pas de problème du coté du serveur FTP Donc si vous avez des idées je suis preneurs Hello ! Peut-être : sur ton serveur ftp : # /sbin/modprobe ip_conntrack_ftp # iptables -t filter -P INPUT DROP # iptables -A INPUT -i eth0 -s 192.168.0.7 -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A INPUT -i eth0 -s 192.168.0.7 -p tcp --dport 21 -j ACCEPT Non celas ne marche pas :-( Merci quand même de ton aide Apparament il faut que j'utilise le related Extrait de la manpages: «and RELATED meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error» Donc je continue mes recherches et des que j'y arrive je vous explqiue comment j'ai fait ;-) A+ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] --- Guillaume Magery- Stagiaire administration réseaux ESDS http://www.magery.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Le Mercredi 19 Juin 2002 13:51, vous avez écrit : Quel version de proftpd ? Le proftpd fournit avec la woody En fait je n'ai pas fait gaffe ;-) C'est ProFTPD 1.2.0pre10 Server (Debian) Sinon, tu ne dois pas ouvrir le port 20 si tu cherches a faire du passif, sinon cela n'a aucun interet essayes deja plutot ca c'est standard, il me semble PassivePorts 49152 65534 Marche pas :-( Mais je vais prendre le probléme a l'envers. Que me conseillez vous pour faire un serveur ftp qui va avoir une dizaines de personnes maximum en simultané a savoir qu'il seront autentifié et pas en anonymes. (Les perssones ce conectant utiliseront aussi bien Windaube, MacOS et GNU/Linux) ? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Le mer 19/06/2002 à 14:01, regis a écrit : Que me conseillez vous pour faire un serveur ftp qui va avoir une dizaines de personnes maximum en simultané a savoir qu'il seront autentifié et pas en anonymes. (Les perssones ce conectant utiliseront aussi bien Windaube, MacOS et GNU/Linux) ? C'est un peu mon cas (mais bon). Moi j'ai utilisé LDAP pour créer des comptes mails. Ceux qui ont autre chose que /dev/null comme home ont un accès ftp du coup. Cela dit, je pense que proftp est un bon choix. As-tu essayé de laisser tomber les passive ports et d'ouvrir le port 20 en plus du 21 dans ta config (tel que tu l'avais fait au départ) ? Régis. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
regis wrote: Que me conseillez vous pour faire un serveur ftp qui va avoir une dizaines de personnes maximum en simultané a savoir qu'il seront autentifié et pas en anonymes. (Les perssones ce conectant utiliseront aussi bien Windaube, MacOS et GNU/Linux) ? Ici, J'ai ces règles : # Si tu as deux serveurs FTP virtuel, sur les ports 21, FTP_PORT_1 modprobe ip_conntrack_ftp ports=21,$FTP_PORT_1 # Autoriser les connexions déjà établie, et le connexion relative, comme par exemple le canal de donnée du protocole FTP. $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Autoriser le FTP entrants vers le serveur FTP port 21 $IPTABLES -A FORWARD -i $EXTERNAL_INTERFACE -o $INTERNAL_INTERFACE -p tcp --sport $UNPRIVPORTS -d $FTP_SERVER --dport 21 -m state --state NEW -j ACCEPT # Autoriser le FTP entrants vers le serveur FTP port FTP_PORT_1 $IPTABLES -A FORWARD -i $EXTERNAL_INTERFACE -o $INTERNAL_INTERFACE -p tcp --sport $UNPRIVPORTS -d $FTP_SERVER --dport $FTP_PORT_1 -m state --state NEW -j ACCEPT Et c'est tout, le module conntrack_ftp (de suivie de connexion) est capable de reconnaitre le mode normale ou le mode passif. Petit rappel sur Netfilter : L'etat NEW dectecte un nouvelle connection, niveau 4 OSI. La connection passe ensuite dans l'etat ESTABLISHED dans la table de suivie de connection. L'etat RELATED permet de vehiculer les paquets ICMP de contrôle de la connection, ou dans le cas du FTP (avec le module conntrack_ftp) de vehiculer le canal de données. L'etat NEW ne s'occupe pas des options des paquets TCP, Tu peux donc ajouter ces règles : $IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP $IPTABLES -A FORWARD -p tcp --syn -m state --state ESTABLISHED -j DROP Si le firewall et le serveur FTP sont sur la meme machine, remplace FORWARD par INPUT, et vire -o $INTERNAL_INTERFACE -- == | FREDERIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[EMAIL PROTECTED] | ===Debian=GNU/Linux=== -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Le Mercredi 19 Juin 2002 14:27, Régis Grison a écrit : Le mer 19/06/2002 à 14:01, regis a écrit : Que me conseillez vous pour faire un serveur ftp qui va avoir une dizaines de personnes maximum en simultané a savoir qu'il seront autentifié et pas en anonymes. (Les perssones ce conectant utiliseront aussi bien Windaube, MacOS et GNU/Linux) ? C'est un peu mon cas (mais bon). Moi j'ai utilisé LDAP pour créer des comptes mails. Ceux qui ont autre chose que /dev/null comme home ont un accès ftp du coup. Cela dit, je pense que proftp est un bon choix. As-tu essayé de laisser tomber les passive ports et d'ouvrir le port 20 en plus du 21 dans ta config (tel que tu l'avais fait au départ) ? Ok je te remercie, celas marche avec ton fichier d'iptables ;-)) $IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport 20 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport 21 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport 22 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 1:10010 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 1:10010 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport 1:10010 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 1:10010 -j ACCEPT Bon ben maintenant je vais m'amuser a lire la doc de proftpd ;-)) Merci a tous -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Le mer 19/06/2002 à 14:48, regis a écrit : Ok je te remercie, celas marche avec ton fichier d'iptables ;-)) $IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport 20 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport 21 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport 22 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 1:10010 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 1:10010 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport 1:10010 -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 1:10010 -j ACCEPT Ouais, cela dit, je suis pas vraiment fier de ces lignes, j'ai fait ça rapidement parce que ça marchait pas, si quelqu'un a des commentaires à faire pour l'améliorer, je suis pas contre (mais comme ça marche, c'est pas dans mes priorités). Régis. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Ouais, cela dit, je suis pas vraiment fier de ces lignes, j'ai fait ça rapidement parce que ça marchait pas, si quelqu'un a des commentaires à faire pour l'améliorer, je suis pas contre (mais comme ça marche, c'est pas dans mes priorités). Perso je préfére les écrire comme celas ;-) -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state NEW,ESTABLISHED -p tcp --sport 20 -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state NEW,ESTABLISHED -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state ESTABLISHED,RELATED -p tcp --sport 20 -j ACCEPT iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state ESTABLISHED,RELATED -p tcp --dport 20 -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state NEW,ESTABLISHED -p tcp --sport 21 -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state ESTABLISHED,RELATED -p tcp --sport 21 -j ACCEPT iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state ESTABLISHED,RELATED -p tcp --dport 21 -j ACCEPT Mon serveur FTP es accesible seulement a mon réseau et pas a internet ce qui représenté pour moi un danger ;-) Et je n'ai laissé que les port nécéssaires ;-)) donc moins de failles Bref merci Régis Grison Grâce a toi j'ai vu l'erreur que je faisait et j'ai réussi ce que je voulais faire ;-)) Bref merci a tous A+ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
regis wrote: -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state NEW,ESTABLISHED -p tcp --sport 20 -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state NEW,ESTABLISHED -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state ESTABLISHED,RELATED -p tcp --sport 20 -j ACCEPT iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state ESTABLISHED,RELATED -p tcp --dport 20 -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state NEW,ESTABLISHED -p tcp --sport 21 -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state ESTABLISHED,RELATED -p tcp --sport 21 -j ACCEPT iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state ESTABLISHED,RELATED -p tcp --dport 21 -j ACCEPT Mon serveur FTP es accesible seulement a mon réseau et pas a internet ce qui représenté pour moi un danger ;-) Et je n'ai laissé que les port nécéssaires ;-)) donc moins de failles Accède a ton serveur FTP, et ensuite regarde le resultat de la commande iptables -L -v. Cette commande te donnera la liste de tes règles avec des compteurs d'utilistation. Si tu as des règles ACCEPT pour le FTP avec un compteur à zéro, c'est que tu as des donblons dans tes règles. -- == | FREDERIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[EMAIL PROTECTED] | ===Debian=GNU/Linux=== -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Le mer 19/06/2002 à 16:39, regis a écrit : Mon serveur FTP es accesible seulement a mon réseau et pas a internet ce qui représenté pour moi un danger ;-) Oui mais moi j'en ai besoin, alors pas trop le choix. Régis. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables FTP
Le mer 19/06/2002 à 16:55, frederic massot a écrit : Accède a ton serveur FTP, et ensuite regarde le resultat de la commande iptables -L -v. Cette commande te donnera la liste de tes règles avec des compteurs d'utilistation. Si tu as des règles ACCEPT pour le FTP avec un compteur à zéro, c'est que tu as des donblons dans tes règles. Ca c'est une super info, je vais regarder ça. Merci beaucoup. Régis. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]