RE: ouvrir un port iptable je suis perdu...

[alde]

> > > Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT.
> > > Tes dernières règles n'ont pas de sens (PREROUTING et DNAT)
> > Tu veux dire que si je met accept mes dernieres regles ne
> servent a rien ?
>
> Je veux dire que mettre ACCEPT par défaut n'est pas bon. Après tout
> l'option -g de nmap doit bien servir à quelque chose...
>
> Concernant le DNAT:
> * lorsque tu te connectes en temps que _client_, il t'est attribué un n°
> de port sup à 1023 mais qui n'est pas déterminé à l'avance (sauf applis
> faites pour, nmap -g par exemple.). La table de connexion est là pour
> gérer les correspondances.
>
> * tu voudras faire du dnat lorsque tu offres un service qui n'est pas
> directement connecté au web, car le correspondant ne connait que la
> passerelle. Le dnat est fait pour envoyer les paquets vers une machine
> et un port donné et prévisible, qui n'est pê pas le port sur lequel
> croit se connecter le correspondant d'ailleurs..
>
> * dans le cas du ftp actif le client se comporte en serveur donc offre
> un service mais sur un port qui n'est pas déterminable. Difficile de
> faire du dnat dans ce cas. D'où l'utilité de ip_nat_ftp
>
ok merci pour ce supplement d'information :)

Ce que je regrette c'est le manque de clairté concernant ce genre de
parametres :/ Impossible de trouver sur le net. Par contre des que j'ai eu
cette commande google est redevenu mon amis :)

Alex.

Re: ouvrir un port iptable je suis perdu...

[Jean-Michel OLTRA]

Le dimanche 12 octobre 2003, alde a écrit...
bonjour,


> > Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT.
> > Tes dernières règles n'ont pas de sens (PREROUTING et DNAT)
> Tu veux dire que si je met accept mes dernieres regles ne servent a rien ?

Je veux dire que mettre ACCEPT par défaut n'est pas bon. Après tout
l'option -g de nmap doit bien servir à quelque chose...

Concernant le DNAT:
* lorsque tu te connectes en temps que _client_, il t'est attribué un n°
de port sup à 1023 mais qui n'est pas déterminé à l'avance (sauf applis
faites pour, nmap -g par exemple.). La table de connexion est là pour
gérer les correspondances.

* tu voudras faire du dnat lorsque tu offres un service qui n'est pas
directement connecté au web, car le correspondant ne connait que la
passerelle. Le dnat est fait pour envoyer les paquets vers une machine
et un port donné et prévisible, qui n'est pê pas le port sur lequel
croit se connecter le correspondant d'ailleurs..

* dans le cas du ftp actif le client se comporte en serveur donc offre
un service mais sur un port qui n'est pas déterminable. Difficile de
faire du dnat dans ce cas. D'où l'utilité de ip_nat_ftp

-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

Re: [RESOLU]RE: ouvrir un port iptable je suis perdu...

[Jean-Michel OLTRA]

Le dimanche 12 octobre 2003, alde a écrit...
bonjour,


> J'ai confondu avec cette commande : modprobe ip_conntrack_ftp
T'as confondu mais ne l'enlève pas. Ce module sert à traquer les
connexions ftp passives. Ce que tu as fait lorsque tu as téléchargé la
maj de l'av à partir d'un client W$, probablement configuré pour faire
du passif par défaut (sinon tu n'y serais pas arrivé...)

-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

[RESOLU]RE: ouvrir un port iptable je suis perdu...

[alde]

> > Comme l'a dit Yann Forget il y a un moment il doit te manquer le module
> > ip_nat_ftp qui va permettre d'avoir la correspondance avec le réseau
> > puisque pour le serveur ftp, le correspondant est la passerelle.
> >
>
> ok je vais voir ce que me dis mon amis google la dessus. Il me manque un
> truc :)
>

Bon je vais chercher un fouet et me flageler...

C'etait bien ca :

modprobe ip_nat_ftp

Ca marche nickel :)

J'ai confondu avec cette commande : modprobe ip_conntrack_ftp


Merci à tous et en particulier a Yann pour avoir soulever le pb et à
Jean-Michel pour toutes les explications détaillées :)

RE: ouvrir un port iptable je suis perdu...

[alde]

> > En effet on voit bien qu'il y a un ping time out donc que mon serveur
> > interdit l'acces :/
> 18   6.809982  80.8.117.68 -> 213.35.101.4 FTP Request: PORT
>192,168,0,1,4,70
> 19   6.861383 213.35.101.4 -> 80.8.117.68  FTP Response: 200 PORT
>command successful
> 24  30.854878 213.35.101.4 -> 80.8.117.68  FTP Response: 550
>   Cannot connect to 192.168.0.1:1092 - timed out.
>
> Passage en mode actif, mais je ne comprends pas pourquoi il veut
> contacter le port 1092 alors que le client lui donne 256*4 + 70 = 1094
>
> Comme l'a dit Yann Forget il y a un moment il doit te manquer le module
> ip_nat_ftp qui va permettre d'avoir la correspondance avec le réseau
> puisque pour le serveur ftp, le correspondant est la passerelle.
>

ok je vais voir ce que me dis mon amis google la dessus. Il me manque un
truc :)

> Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT.
> Tes dernières règles n'ont pas de sens (PREROUTING et DNAT)
>

Tu veux dire que si je met accept mes dernieres regles ne servent a rien ?

> Et puis je ne connaissais pas cette syntaxe >|
> Si tu -quelqu'un- peut m'expliquer ?
>  echo "1" >| /proc/sys/net/ipv4/ip_forward
>

Pour ca y'a un historique en fait... Par un moment ip_forward etait par
default a 0 lors d'un reboot. Donc dans ce scrypt je le forcais a 1. Je n'ai
plus besoin maintenant car j'ai trouvé la source du problème.

Alex.

Re: ouvrir un port iptable je suis perdu...

[Jean-Michel OLTRA]

Le dimanche 12 octobre 2003, alde a écrit...
bonjour,


> En effet on voit bien qu'il y a un ping time out donc que mon serveur
> interdit l'acces :/
18   6.809982  80.8.117.68 -> 213.35.101.4 FTP Request: PORT
 192,168,0,1,4,70
19   6.861383 213.35.101.4 -> 80.8.117.68  FTP Response: 200 PORT
 command successful
24  30.854878 213.35.101.4 -> 80.8.117.68  FTP Response: 550
  Cannot connect to 192.168.0.1:1092 - timed out.
  
Passage en mode actif, mais je ne comprends pas pourquoi il veut
contacter le port 1092 alors que le client lui donne 256*4 + 70 = 1094

Comme l'a dit Yann Forget il y a un moment il doit te manquer le module
ip_nat_ftp qui va permettre d'avoir la correspondance avec le réseau
puisque pour le serveur ftp, le correspondant est la passerelle.

Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT.
Tes dernières règles n'ont pas de sens (PREROUTING et DNAT)

Et puis je ne connaissais pas cette syntaxe >|
Si tu -quelqu'un- peut m'expliquer ?
 echo "1" >| /proc/sys/net/ipv4/ip_forward

-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

RE: ouvrir un port iptable je suis perdu...

[alde]

> > > Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de
> > > l'actif ?
> > Alors ca... Je vais me renseigner. Pour culture perso Quel
> difference entre
> > passif et actif pour un serveur NAT ?
> La réponse serait bien dans la question...Si j'avais à distribuer un
> logiciel qui fait client ftp qui se connecte sur mon serveur ftp je le
> configurerais pour qu'il demande de l'actif.
> Car en mode actif c'est le client ftp qui agit en temps que serveur tcp,
> indiquant au serveur un n° de port à contacter et ouvrant la connexion
> sur ce port, le serveur ftp initialisant la connexion avec un paquet
> drapeau SYN mis à parir du port ftp-data 20.
> C'est donc la machine cliente qui fait le turbin ce qui charge moins le
> serveur ftp (et la bécane sur laquelle il réside).
>
> Donc si on part de cette hypothèse:
> * pê que tu bloques en FORWARD (car c'est bien sur une autre machine que
> se trouve l'av ?) les paquets drapeau syn mis, ce qui peut être une
> bonne chose. Moins bonne si le port 20 distant est bloqué dans le tas.
> * pê que tu n'autorises pas le forward des connexions RELATED pour le
> port ftp-data 20 en source.
>

oui l'av se trouve sur une autre machine.

av sur windows 2000
windows 2000 accede a internet via mon petit serveur debian
debian serveur NAT FW

dans mes regles iptables le forward est ouvert par defaut. Si je me connecte
sur le serveur FTP de l'av avec un client ftp sur le win2k je peux recuperer
les fichiers de maj. Je te met en copie mon scrypt IPTABLE.

> Pour continuer à faire joujou...tu peux essayer tethereal (ou ethereal
> mais c'est en mode graphique et il faut cliquer partout et je ne sais
> pas faire)
> tethereal -n -w tethereal.log -i eth0 host nomServeur
> (Ctrl-C pour stopper)
> puis:
> tethereal -n -r tethereal.log|less
>
> Et tu devrais avoir le discours en "clair", avec ce qui se dit entre
> l'av et le site ftp, ce qui devrait permettre de voir si ça merdoie et
> où.
>
En effet on voit bien qu'il y a un ping time out donc que mon serveur
interdit l'acces :/
(c pas trop propre le fichier généré donc je le met aussi en PJ. (J'ai pas
testé l'interface graphique mon petit serveur n'est pas assez puissant pour
supporter un serveur x ;o) )

Alex.


iptables.sh
Description: Binary data


tethereal.log
Description: Binary data

Re: ouvrir un port iptable je suis perdu...

[Jean-Michel OLTRA]

Le dimanche 12 octobre 2003, alde a écrit...
bonjour,


> > Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de
> > l'actif ?
> Alors ca... Je vais me renseigner. Pour culture perso Quel difference entre
> passif et actif pour un serveur NAT ?
La réponse serait bien dans la question...Si j'avais à distribuer un
logiciel qui fait client ftp qui se connecte sur mon serveur ftp je le
configurerais pour qu'il demande de l'actif.
Car en mode actif c'est le client ftp qui agit en temps que serveur tcp,
indiquant au serveur un n° de port à contacter et ouvrant la connexion
sur ce port, le serveur ftp initialisant la connexion avec un paquet
drapeau SYN mis à parir du port ftp-data 20.
C'est donc la machine cliente qui fait le turbin ce qui charge moins le
serveur ftp (et la bécane sur laquelle il réside).

Donc si on part de cette hypothèse:
* pê que tu bloques en FORWARD (car c'est bien sur une autre machine que
se trouve l'av ?) les paquets drapeau syn mis, ce qui peut être une
bonne chose. Moins bonne si le port 20 distant est bloqué dans le tas.
* pê que tu n'autorises pas le forward des connexions RELATED pour le
port ftp-data 20 en source.

Pour continuer à faire joujou...tu peux essayer tethereal (ou ethereal
mais c'est en mode graphique et il faut cliquer partout et je ne sais
pas faire)
tethereal -n -w tethereal.log -i eth0 host nomServeur
(Ctrl-C pour stopper)
puis:
tethereal -n -r tethereal.log|less

Et tu devrais avoir le discours en "clair", avec ce qui se dit entre
l'av et le site ftp, ce qui devrait permettre de voir si ça merdoie et
où.

PS: mille merci à François pour sa ruse de sioux sur le champ From: ar
sur la nuit je n'enregistre que 7 Swens sur Online, pour 50 sur
Libertysurf.

-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

Re: ouvrir un port iptable je suis perdu...

[Jean-Michel OLTRA]

Le dimanche 12 octobre 2003, alde a écrit...
bonjour,


> > Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de
> > l'actif ?
Pour continuer à faire joujou...tu peux essayer tethereal (ou ethereal
mais c'est en mode graphique et il faut cliquer partout et je ne sais
pas faire)
tethereal -n -w tethereal.log -i eth0 host nomServeur
(Ctrl-C pour stopper)
puis:
tethereal -n -r tethereal.log|less

Et tu devrais avoir le discours en "clair", avec ce qui se dit entre
l'av et le site ftp, ce qui devrait permettre de voir si ça merdoie et
où.
-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

Re: ouvrir un port iptable je suis perdu...

[Nicolas Rueff]

le Sun, 12 Oct 2003 02:51:18 +0200, [EMAIL PROTECTED] (François TOURDE)
s'exprima en ces termes:

> Le 12337ième jour après Epoch,
> [EMAIL PROTECTED] écrivait:
> 
> >> > [...]
> >
> > oki doki c'est pas si tordu que ca tcpdump :)
> >
> >> > je comprend plus rien ca change de port en permanence :(
> >> Ben oui, une connexion est initiée d'un client à partir d'un port
> >sup à> 1024 vers un serveur sur un port < 1024, en l'occurence le
> >port 21 pour>  ftp.
> >>
> >> > #Ouverture pour download signature ETrust innoculated
> >> > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20
> >> -j DNAT --to
> >> > 192.168.0.1:20
> >> pourquoi ça ? Il est hors de question qu'un serveur ftp se connecte
> >sur> ton port ftp, pour peu que tu en aies un ouvert d'ailleurs.
> >>
> >
> > C'est bien ce que je pensais... C'est inutile. Je vire cette regle.
> >
> >> Un client se connecte sur un port privé < 1024 à partir d'un port
> >> sup à  1024 et un serveur répond à partir d'un port privé < 1024
> >> sur le port du client.
> >>
> >> Je ne suis pas spécialiste mais je trouve que le dialogue est
> >uniquement> sur le service ftp, port 21, mais il n'y a pas d'entrée
> >en mode ni> passif ni actif, donc le serveur rencontre un problème
> >pour initier une> connexion.
> >>
> >> Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou
> >de> l'actif ?
> >>
> >
> > Alors ca... Je vais me renseigner. Pour culture perso Quel
> > difference entre passif et actif pour un serveur NAT ?
> 
> Majeur la différence... En FTP non passif, le serveur FTP se connecte
> à un numéro de port que le client lui donne, et les firewalls qui font
> NAT sont pas prévus pour répondre...
> 
> En mode passif, c'est le client qui se connecte en mode data sur le
> serveur. Du coup, les FW NAT considèrent la connection comme valide.

Autre version: 

- en passif c'est le client qui _initie_ la connection de données vers
le serveur, donc le serveur reste passif et la connection est "dirigée"
du client vers le serveur (sortante du point de vue du client)
- en actif c'est le serveur qui se connecte au client, donc
serveur actif et connection "dirigée" du serveur vers le client
(entrante du point de vue du client).

Donc quand ton client est derrière un FW:
- soit seuls certains ports en entrant et sortant sont autorisés => FTP
impossible
- soit tous les ports sont ouverts en sortant, et certains en entrant =>
FTP passif uniquement

Sans firewall, ftp actif ou passif.

/N paraphraseur du dimanche
__
Nicolas Rueff <[EMAIL PROTECTED]>
http://rueff.tuxfamily.org
+33 6 77 64 44 80
--
Those who do not understand Unix are condemned to reinvent it, poorly.
-- Henry Spencer
__



pgpOe3eXtQmPK.pgp
Description: PGP signature

Re: ouvrir un port iptable je suis perdu...

[Nicolas Rueff]

le Sat, 11 Oct 2003 23:20:23 +0200, Jean-Michel OLTRA
<[EMAIL PROTECTED]> s'exprima en ces termes:

> Le samedi 11 octobre 2003, Nicolas Rueff a écrit...
>   bonjour,
> 
> 
> > > > 192.168.0.1:1211
> > > Non.
> 
> > Tiens, pourquoi donc ? Ça me parait assez standard pourtant ?
> 
> J'en sais rienLa sortie de tcpdump est comme ça. Le port est en
> dernier après l'ip/nom de machine et séparé par un point
> Pê que c'est plus facile à parser avec un séparateur identique ?

Ça risque aussi de leurrer le débutant: les adresses xxx.xxx.xxx.xxx
appartiennent au protocole IP, les ports sont l'adressage TCP. Deux
niveuax différents, donc mieux vaux les différencier par la notation.

/N 
__
Nicolas Rueff <[EMAIL PROTECTED]>
http://rueff.tuxfamily.org
+33 6 77 64 44 80
--
Given its constituency, the only thing I expect to be "open" about [the
Open Software Foundation] is its mouth.
-- John Gilmore
__



pgpBKKKU4TrJD.pgp
Description: PGP signature

Re: ouvrir un port iptable je suis perdu...

[Jean-Michel OLTRA]

Le samedi 11 octobre 2003, Nicolas Rueff a écrit...
bonjour,


> > > 192.168.0.1:1211
> > Non.

> Tiens, pourquoi donc ? Ça me parait assez standard pourtant ?

J'en sais rienLa sortie de tcpdump est comme ça. Le port est en
dernier après l'ip/nom de machine et séparé par un point
Pê que c'est plus facile à parser avec un séparateur identique ?
-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

Re: ouvrir un port iptable je suis perdu...

[François TOURDE]

Le 12337ième jour après Epoch,
[EMAIL PROTECTED] écrivait:

>> > [...]
>
> oki doki c'est pas si tordu que ca tcpdump :)
>
>> > je comprend plus rien ca change de port en permanence :(
>> Ben oui, une connexion est initiée d'un client à partir d'un port sup à
>> 1024 vers un serveur sur un port < 1024, en l'occurence le port 21 pour
>>  ftp.
>>
>> > #Ouverture pour download signature ETrust innoculated
>> > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20
>> -j DNAT --to
>> > 192.168.0.1:20
>> pourquoi ça ? Il est hors de question qu'un serveur ftp se connecte sur
>> ton port ftp, pour peu que tu en aies un ouvert d'ailleurs.
>>
>
> C'est bien ce que je pensais... C'est inutile. Je vire cette regle.
>
>> Un client se connecte sur un port privé < 1024 à partir d'un port
>> sup à  1024 et un serveur répond à partir d'un port privé < 1024
>> sur le port du client.
>>
>> Je ne suis pas spécialiste mais je trouve que le dialogue est uniquement
>> sur le service ftp, port 21, mais il n'y a pas d'entrée en mode ni
>> passif ni actif, donc le serveur rencontre un problème pour initier une
>> connexion.
>>
>> Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de
>> l'actif ?
>>
>
> Alors ca... Je vais me renseigner. Pour culture perso Quel difference entre
> passif et actif pour un serveur NAT ?

Majeur la différence... En FTP non passif, le serveur FTP se connecte à un
numéro de port que le client lui donne, et les firewalls qui font NAT sont
pas prévus pour répondre...

En mode passif, c'est le client qui se connecte en mode data sur le serveur.
Du coup, les FW NAT considèrent la connection comme valide.

-- 
Just because everything is different doesn't mean anything has changed.
-- Irene Peter

Re: ouvrir un port iptable je suis perdu...

[François TOURDE]

Le 12336ième jour après Epoch,
Nicolas Rueff écrivait:

> le Sat, 11 Oct 2003 22:04:43 +0200, Jean-Michel OLTRA
> <[EMAIL PROTECTED]> s'exprima en ces termes:
>
>> Le samedi 11 octobre 2003, marco a écrit...
>>  bonjour,
>> 
>> 
>> > Bon ben si c'est uin port, la syntaxe devrait ressembler à ça :
>> 
>> > 192.168.0.1:1211
>> 
>> Non.
>
> Tiens, pourquoi donc ? Ça me parait assez standard pourtant ?
Non...

man tcpdump

-- 
Raising pet electric eels is gaining a lot of current popularity.

Re: ouvrir un port iptable je suis perdu...

[François TOURDE]

Le 12336ième jour après Epoch,
daniel huhardeaux écrivait:

> alde wrote:
>
16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com
tcpdump: listening on eth0
16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S


>>>
>>>  C'est quoi cette adresse IP ?
>>
>>Ben l'adresse local de mon win2k pourquoi ?
>>
> 1211, c'est ca? Le maximum est 254, 255 etant l'adresse
> broadcast. M'etonne pas alors que ca ne marche pas!

Ben relis tout ça... Tu vas voir que une adresse IP c'est sur 4 digit l'adresse
ip, et que donc la suite c'est probablement le N° de port...

-- 
Ego sum ens omnipotens.

RE: ouvrir un port iptable je suis perdu...

[alde]

> > [...]

oki doki c'est pas si tordu que ca tcpdump :)

> > je comprend plus rien ca change de port en permanence :(
> Ben oui, une connexion est initiée d'un client à partir d'un port sup à
> 1024 vers un serveur sur un port < 1024, en l'occurence le port 21 pour
>  ftp.
>
> > #Ouverture pour download signature ETrust innoculated
> > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20
> -j DNAT --to
> > 192.168.0.1:20
> pourquoi ça ? Il est hors de question qu'un serveur ftp se connecte sur
> ton port ftp, pour peu que tu en aies un ouvert d'ailleurs.
>

C'est bien ce que je pensais... C'est inutile. Je vire cette regle.

> Un client se connecte sur un port privé < 1024 à partir d'un port
> sup à  1024 et un serveur répond à partir d'un port privé < 1024
> sur le port du client.
>
> Je ne suis pas spécialiste mais je trouve que le dialogue est uniquement
> sur le service ftp, port 21, mais il n'y a pas d'entrée en mode ni
> passif ni actif, donc le serveur rencontre un problème pour initier une
> connexion.
>
> Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de
> l'actif ?
>

Alors ca... Je vais me renseigner. Pour culture perso Quel difference entre
passif et actif pour un serveur NAT ?

> --
> Jean-Michel
>

Alex.

Merci JM pour l'interet que tu portes a mon pb :)

Re: ouvrir un port iptable je suis perdu...

[Nicolas Rueff]

le Sat, 11 Oct 2003 22:04:43 +0200, Jean-Michel OLTRA
<[EMAIL PROTECTED]> s'exprima en ces termes:

> Le samedi 11 octobre 2003, marco a écrit...
>   bonjour,
> 
> 
> > Bon ben si c'est uin port, la syntaxe devrait ressembler à ça :
> 
> > 192.168.0.1:1211
> 
> Non.

Tiens, pourquoi donc ? Ça me parait assez standard pourtant ?

/N 
__
Nicolas Rueff <[EMAIL PROTECTED]>
http://rueff.tuxfamily.org
+33 6 77 64 44 80
--
 2fort5 sucks enough to have its own gravity ...
__



pgpu26VgtmU7J.pgp
Description: PGP signature

Re: ouvrir un port iptable je suis perdu...

[Jean-Michel OLTRA]

Le samedi 11 octobre 2003, alde a écrit...
bonjour,


> 16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com
ah !
> 16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S
> 4017219278:4017219278(0) win 16384  (DF)
demande de connexion, drapeau syn S
> 16:42:27.217893 ftpav.ca.com.ftp > 192.168.0.1.1211: S
> 1087449675:1087449675(0) ack 4017219279 win 65340 
> (DF)
ok, le serveur ack le syn et renvoie un syn
> 16:42:27.218338 192.168.0.1.1211 > ftpav.ca.com.ftp: . ack 1 win 17424 (DF)
ack du syn du serveur ftp
> 16:42:27.285282 ftpav.ca.com.ftp > 192.168.0.1.1211: P 1:67(66) ack 1 win
> 65340 (DF)
début du l'envoi des données. push P de 66 octets et ack du paquet
précédent.
> 16:42:27.285794 192.168.0.1.1211 > ftpav.ca.com.ftp: P 1:17(16) ack 67 win
> 17358 (DF)
réponse de ta machine qui push quelque chose (16 octets) et ack du pa
quet précédent (regarder les n° de séquence)
[snip]
et on continue à causer...

> je comprend plus rien ca change de port en permanence :(
Ben oui, une connexion est initiée d'un client à partir d'un port sup à
1024 vers un serveur sur un port < 1024, en l'occurence le port 21 pour
 ftp.

> #Ouverture pour download signature ETrust innoculated
> iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20 -j DNAT --to
> 192.168.0.1:20
pourquoi ça ? Il est hors de question qu'un serveur ftp se connecte sur
ton port ftp, pour peu que tu en aies un ouvert d'ailleurs.

Un client se connecte sur un port privé < 1024 à partir d'un port
sup à  1024 et un serveur répond à partir d'un port privé < 1024
sur le port du client.

Je ne suis pas spécialiste mais je trouve que le dialogue est uniquement
sur le service ftp, port 21, mais il n'y a pas d'entrée en mode ni
passif ni actif, donc le serveur rencontre un problème pour initier une
connexion.

Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de
l'actif ?

-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

Re: ouvrir un port iptable je suis perdu...

[Jean-Michel OLTRA]

Le samedi 11 octobre 2003, marco a écrit...
bonjour,


> Bon ben si c'est uin port, la syntaxe devrait ressembler à ça :

> 192.168.0.1:1211

Non.
-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

Re: ouvrir un port iptable je suis perdu...

[marco]

On Sat, 11 Oct 2003 19:49:09 +0200
"alde" <[EMAIL PROTECTED]> wrote:

> 
> Bon ok je suis debutant sous linux mais quand meme :)
> 
> 192.168.0.1 => adresse local
> 1211 => le port utilise...

Bon ben si c'est uin port, la syntaxe devrait ressembler à ça :

192.168.0.1:1211

> 
> Bonne nuit ;o)

aussi

> Alex.
> 
> 
--
marco
--
Clé PGP publique : https://iftbqp.mine.nu/marco.asc


pgprS4DW7M1oX.pgp
Description: PGP signature

RE: ouvrir un port iptable je suis perdu...

[alde]

> >>>16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com
> >>>tcpdump: listening on eth0
> >>>16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S
> >>>
> >>>  
> >>>
> >>
>  
> >>C'est quoi cette adresse IP ? 
> >>
> >>
> >>
> >
> >Ben l'adresse local de mon win2k pourquoi ?
> >  
> >
> 1211, c'est ca? Le maximum est 254, 255 etant l'adresse broadcast. 
> M'etonne pas alors que ca ne marche pas!
> 
> -- 

Bon ok je suis debutant sous linux mais quand meme :)

192.168.0.1 => adresse local
1211 => le port utilise...


Bonne nuit ;o)

Alex.

Re: ouvrir un port iptable je suis perdu...

[daniel huhardeaux]

alde wrote:


16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com
tcpdump: listening on eth0
16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S

 

    
C'est quoi cette adresse IP ? 

   



Ben l'adresse local de mon win2k pourquoi ?
 

1211, c'est ca? Le maximum est 254, 255 etant l'adresse broadcast. 
M'etonne pas alors que ca ne marche pas!


--
:  __ __ __ __ __ __  [EMAIL PROTECTED]
: /_// __  // __  //_// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax: +48 32 285 5276
: /_/  /_//_/  /_/  /_/ /_//_/ mobile..: +48 602 284 546

RE: ouvrir un port iptable je suis perdu...

[alde]

> >
> >16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com
> >tcpdump: listening on eth0
> >16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S
> >
>  
> C'est quoi cette adresse IP ? 
> 

Ben l'adresse local de mon win2k pourquoi ?

Alex.

Re: ouvrir un port iptable je suis perdu...

[daniel huhardeaux]

alde wrote:


[...]

16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com
tcpdump: listening on eth0
16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S

    
C'est quoi cette adresse IP ? 


--
:  __ __ __ __ __ __  [EMAIL PROTECTED]
: /_// __  // __  //_// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax: +48 32 285 5276
: /_/  /_//_/  /_/  /_/ /_//_/ mobile..: +48 602 284 546

RE: ouvrir un port iptable je suis perdu...

[alde]

>   bonjour,
>
>
> > tcpdump me revoit :
> Tu es sur quelle machine quand tu as lancé tcpdump ?
>

sur le serveur directement.

> > 11:20:12.893435 192.168.0.1.1125 > ftpav.ca.com.ftp: F
> 160:160(0) ack 283
> > win 17142 (DF)
> parce que là je vois une ip de réseau interne, donc t'es pas sur la
> passerelle je pense que tu aurais une ip publique masqueradée.
>
> Premier paquet que tu donnes, mais je ne sais pas où tu en es dans la
> connexion, tu envoies une fermeture de connexion sur le serveur ftp avec
> un paquet qui possède un flag FIN (F)
>
> > 11:20:13.001382 ftpav.ca.com.ftp > 192.168.0.1.1125: . ack 161 win 65340
> > (DF)
> le serveur distant accepte la fermeture de connexion avec un ack
>
> > 11:20:27.838429 ftpav.ca.com.ftp > 192.168.0.1.1117: FP
> 0:53(53) ack 1 win
> > 65340 (DF)
> Et il ferme aussi en t'envoyant quelques bricoles de data.
>

Interressant et beaucoup plus clair que le man merci :)

> > Etant completement novice je me dis bon ok pour le port 1125 et
> 1117. (au
> > passage j'ouvre le port 20 et 21 en nat).
> Pourquoi ? Tu devrais faire de la doc sur le fonctionnement d'iptables.
>
> Le serveur ftp envoie des données du port 21 vers un port > 1024 en mode
> actif, et d'un port > 1024 vers un port > 1024 en mode passif. Le port
> 20 n'est qu'un port de commande.
>
> Donc il y a un problème au niveau de la transmission de ton AV au
> serveur ftp, dirais je, si tu nous donnes là le début du _dialogue_,
> puisque tu nous montre une terminaison de connexion.
>
> Il faudrait le début de la connexion, pour voir si quelque chose est
> initié.
>

voila ce que j'ai en globalité :

16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com
tcpdump: listening on eth0
16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S
4017219278:4017219278(0) win 16384  (DF)
16:42:27.217893 ftpav.ca.com.ftp > 192.168.0.1.1211: S
1087449675:1087449675(0) ack 4017219279 win 65340 
(DF)
16:42:27.218338 192.168.0.1.1211 > ftpav.ca.com.ftp: . ack 1 win 17424 (DF)
16:42:27.285282 ftpav.ca.com.ftp > 192.168.0.1.1211: P 1:67(66) ack 1 win
65340 (DF)
16:42:27.285794 192.168.0.1.1211 > ftpav.ca.com.ftp: P 1:17(16) ack 67 win
17358 (DF)
16:42:27.308539 ftpav.ca.com.ftp > 192.168.0.1.1211: . ack 17 win 65340 (DF)
16:42:27.308807 ftpav.ca.com.ftp > 192.168.0.1.1211: P 67:135(68) ack 17 win
65340 (DF)
16:42:27.309272 192.168.0.1.1211 > ftpav.ca.com.ftp: P 17:48(31) ack 135 win
17290 (DF)
16:42:27.332934 ftpav.ca.com.ftp > 192.168.0.1.1211: P 135:194(59) ack 48
win 65340 (DF)
16:42:27.446957 192.168.0.1.1211 > ftpav.ca.com.ftp: . ack 194 win 17231
(DF)
16:42:27.471922 ftpav.ca.com.ftp > 192.168.0.1.1211: P 194:228(34) ack 48
win 65340 (DF)
16:42:27.498065 192.168.0.1.1211 > ftpav.ca.com.ftp: P 48:56(8) ack 228 win
17197 (DF)
16:42:27.636970 ftpav.ca.com.ftp > 192.168.0.1.1211: P 228:244(16) ack 56
win 65340 (DF)
16:42:27.642966 192.168.0.1.1211 > ftpav.ca.com.ftp: P 56:80(24) ack 244 win
17181 (DF)
16:42:27.693091 ftpav.ca.com.ftp > 192.168.0.1.1211: P 244:274(30) ack 80
win 65340 (DF)
16:42:27.693653 192.168.0.1.1211 > ftpav.ca.com.ftp: P 80:120(40) ack 274
win 17151 (DF)
16:42:27.779539 ftpav.ca.com.ftp > 192.168.0.1.1211: P 274:283(9) ack 120
win 65340 (DF)
16:42:27.780290 192.168.0.1.1211 > ftpav.ca.com.ftp: P 120:160(40) ack 283
win 17142 (DF)
16:42:27.989326 ftpav.ca.com.ftp > 192.168.0.1.1211: . ack 160 win 65340
(DF)

je comprend plus rien ca change de port en permanence :(

> > #Ouverture pour download signature ETrust innoculated
> > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:20 -j
> > DNAT --to 192.168.0.1:20
> > iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j
> > ACCEPT
> oups oups oups.
> Lis le netfilter-HOWTO
> renseignes toi sur tcp.

vi vi petite correction :p

#Ouverture pour download signature ETrust innoculated
iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20 -j DNAT --to
192.168.0.1:20
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 21 -j DNAT --to
192.168.0.1:21
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 21 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1113 -j
DNAT --to 192.168.0.1:1113
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1113 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1117 -j
DNAT --to 192.168.0.1:1117
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1117 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1119 -j
DNAT --to 192.168.0.1:1119
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1119 -j
ACCEPT

Re: ouvrir un port iptable je suis perdu...

[jean-michel OLTRA]

Le samedi 11 octobre 2003, alde a écrit...


bonjour,


> tcpdump me revoit :
Tu es sur quelle machine quand tu as lancé tcpdump ?

> 11:20:12.893435 192.168.0.1.1125 > ftpav.ca.com.ftp: F 160:160(0) ack 283
> win 17142 (DF)
parce que là je vois une ip de réseau interne, donc t'es pas sur la
passerelle je pense que tu aurais une ip publique masqueradée.

Premier paquet que tu donnes, mais je ne sais pas où tu en es dans la
connexion, tu envoies une fermeture de connexion sur le serveur ftp avec
un paquet qui possède un flag FIN (F)

> 11:20:13.001382 ftpav.ca.com.ftp > 192.168.0.1.1125: . ack 161 win 65340
> (DF)
le serveur distant accepte la fermeture de connexion avec un ack

> 11:20:27.838429 ftpav.ca.com.ftp > 192.168.0.1.1117: FP 0:53(53) ack 1 win
> 65340 (DF)
Et il ferme aussi en t'envoyant quelques bricoles de data.

> Etant completement novice je me dis bon ok pour le port 1125 et 1117. (au
> passage j'ouvre le port 20 et 21 en nat).
Pourquoi ? Tu devrais faire de la doc sur le fonctionnement d'iptables.

Le serveur ftp envoie des données du port 21 vers un port > 1024 en mode
actif, et d'un port > 1024 vers un port > 1024 en mode passif. Le port
20 n'est qu'un port de commande.

Donc il y a un problème au niveau de la transmission de ton AV au
serveur ftp, dirais je, si tu nous donnes là le début du _dialogue_,
puisque tu nous montre une terminaison de connexion.

Il faudrait le début de la connexion, pour voir si quelque chose est
initié.

> #Ouverture pour download signature ETrust innoculated
> iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:20 -j
> DNAT --to 192.168.0.1:20
> iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j
> ACCEPT
oups oups oups.
Lis le netfilter-HOWTO
renseignes toi sur tcp.
-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

Re: ouvrir un port iptable je suis perdu...

[Yann Forget]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour,

Il ne te manquerais pas un module comme ip_nat_ftp.o par hasard ?

Yann

Le Thursday 09 October 2003 20:00, Decorny Alexandre a écrit :
>
> Apres quelques recherches, je me suis rendu compte que e-trust ce connecte
> avec le port 80 (http) et reçois les maj par ftp sur un port que je ne
> connais pas :(
>
> pour info j'ai le port "classique" ftp ouvert :
>
> # Autorisation FTP
> iptables -A INPUT -p tcp --dport 20 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
> iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT

- -- 
http://www.non-violence.org/ | Site collaboratif sur la non-violence
http://www.forget-me.net/ | Alternatives sur le Net
http://fr.wikipedia.org/ | Encyclopédie libre
http://www.forget-me.net/pro/ | Formations et services Linux
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/h/mam4KYjQo0y9oRAidRAJ4s2HfkdsBS/AjO3rVzPULsD8BBaQCgrB1z
/Pe5n8acflec2Zb+4mASJds=
=NU4O
-END PGP SIGNATURE-

RE: ouvrir un port iptable je suis perdu...

[alde]

>Si tu connais l'ip du serveur AV
>tcpdump -i interface host serveur
>(ajouter -n si tu donnes une ip et pas un nom pour "serveur")
>très bourrin mais ça te donnera tout le dialogue vers serveur

>ou bien:
>tcpdump -n -i interface src port 80 and src host ipServeur
>devrait te ramener le dialogue du port 80 en provenance de ipServeur,
>ton serveur AV, vers la machine qui reçoit les paquets et son port.

>man tcpdump
>--
>Jean-Michel

merci pour cette reponse je pense avancer à petit tres petit pas.

tcpdump me revoit :
11:20:12.893435 192.168.0.1.1125 > ftpav.ca.com.ftp: F 160:160(0) ack 283
win 17142 (DF)
11:20:13.001382 ftpav.ca.com.ftp > 192.168.0.1.1125: . ack 161 win 65340
(DF)
11:20:27.838429 ftpav.ca.com.ftp > 192.168.0.1.1117: FP 0:53(53) ack 1 win
65340 (DF)

Etant completement novice je me dis bon ok pour le port 1125 et 1117. (au
passage j'ouvre le port 20 et 21 en nat).

#Ouverture pour download signature ETrust innoculated
iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:20 -j
DNAT --to 192.168.0.1:20
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:21 -j
DNAT --to 192.168.0.1:21
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 21 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:1117 -j
DNAT --to 192.168.0.1:1117
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1117 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:1117 -j
DNAT --to 192.168.0.1:1117
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1117 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:1125 -j
DNAT --to 192.168.0.1:1125
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1125 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:1125 -j
DNAT --to 192.168.0.1:1125
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1125 -j
ACCEPT

Malheureusement toujours pas le resultat attendu o_O je commence a
desesperer :(

Alex.

Re: ouvrir un port iptable je suis perdu...

[jean-michel OLTRA]

Le vendredi 10 octobre 2003, alde a écrit...
bonjour,


> En fait mon antivirus envoi une demande au serveur ETrust sur le port 80 et
> recois les maj sur un autre port. C'est ce port que je n'arrive pas a
> ouvrir.

> Tcpdump bonne idée ais je n'arrive pas a assimiler la syntaxe :/

Si tu connais l'ip du serveur AV
tcpdump -i interface host serveur
(ajouter -n si tu donnes une ip et pas un nom pour "serveur")
très bourrin mais ça te donnera tout le dialogue vers serveur

ou bien:
tcpdump -n -i interface src port 80 and src host ipServeur
devrait te ramener le dialogue du port 80 en provenance de ipServeur,
ton serveur AV, vers la machine qui reçoit les paquets et son port.

man tcpdump
-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

RE: ouvrir un port iptable je suis perdu...

[alde]

Quelques pistes de débogage:

lister les règles et regarder si il n'y en pas une qui bloque en amont.

faire des tcpdump sur la passerelle pour examiner les requêtes qui
arrivent et celles qui sortent. Tu pourras ainsi, en plus de déboguer
ton antivirus, voir ce qu'il demande et où.

--
Jean-Michel

*

En fait mon antivirus envoi une demande au serveur ETrust sur le port 80 et
recois les maj sur un autre port. C'est ce port que je n'arrive pas a
ouvrir.

Tcpdump bonne idée ais je n'arrive pas a assimiler la syntaxe :/

Merci.

Alex.

Re: ouvrir un port iptable je suis perdu...

[jean-michel OLTRA]

Le vendredi 10 octobre 2003, k.panic a écrit...
bonjour,


> >Si vous avez une solution ou un début de piste je vous en remercie par
> >avance.
Quelques pistes de débogage:

lister les règles et regarder si il n'y en pas une qui bloque en amont.

faire des tcpdump sur la passerelle pour examiner les requêtes qui
arrivent et celles qui sortent. Tu pourras ainsi, en plus de déboguer
ton antivirus, voir ce qu'il demande et où.

-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html

Re: ouvrir un port iptable je suis perdu...

[k.panic]

Decorny Alexandre wrote:


Bonsoir la liste,

J'ai besoin d'un petit coup de pouce... J'utilise Debian pour un serveur
nat. Les machines qui se connectent sont une debian et un win2k.

Sur le win2k j'utilise E-trust innoculated.

C'est la que le problème arrive...

Je n'arrive pas a télécharger les mise a jour de cet antivirus.

Pourtant j'ai les règles NAT adéquate (je suppose...)

#REGLE FORWARDING
# Toutes les connexions qui sortent du LAN vers le Net sont acceptées
#iptables -A FORWARD -i lo -o ppp0 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT

# Seules les connexions déjà établies sont acceptées venant du Net vers le
LAN
#iptables -A FORWARD -i ppp0 -o lo -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j
ACCEPT


Apres quelques recherches, je me suis rendu compte que e-trust ce connecte
avec le port 80 (http) et reçois les maj par ftp sur un port que je ne
connais pas :(

pour info j'ai le port "classique" ftp ouvert :

# Autorisation FTP
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT

Là en l'occurence ton port est ouvert sur ta passerrelle. Il n'est pas 
forwardé vers ton client donc selon moi cette règle ne te sert à rien, à 
moins d'avoir un serveur ftp sur ta passerelle.

Deplus je suis assez surpris que ton antivirus serve de server ftp.
Ne serait-ce pas plutot un client ftp vers ton serveur de MAJ ?



Je cherche depuis plus d'une semaine un moyen de router ces paquets sur mon
win2k sans succès :( Je n'arrive même pas a voir par quel port passe les
dits paquets.

J'ai fouillé dans les docs iptables et je suis incapable de loguer les
paquets refusé. J'ai aussi essayé de suivre les paquet avec iptraf mais sans
succès :(

J'en viens donc aux experts : La liste debian ;o)

Si vous avez une solution ou un début de piste je vous en remercie par
avance.

Alex.