RE: ouvrir un port iptable je suis perdu...
> > > Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT. > > > Tes dernières règles n'ont pas de sens (PREROUTING et DNAT) > > Tu veux dire que si je met accept mes dernieres regles ne > servent a rien ? > > Je veux dire que mettre ACCEPT par défaut n'est pas bon. Après tout > l'option -g de nmap doit bien servir à quelque chose... > > Concernant le DNAT: > * lorsque tu te connectes en temps que _client_, il t'est attribué un n° > de port sup à 1023 mais qui n'est pas déterminé à l'avance (sauf applis > faites pour, nmap -g par exemple.). La table de connexion est là pour > gérer les correspondances. > > * tu voudras faire du dnat lorsque tu offres un service qui n'est pas > directement connecté au web, car le correspondant ne connait que la > passerelle. Le dnat est fait pour envoyer les paquets vers une machine > et un port donné et prévisible, qui n'est pê pas le port sur lequel > croit se connecter le correspondant d'ailleurs.. > > * dans le cas du ftp actif le client se comporte en serveur donc offre > un service mais sur un port qui n'est pas déterminable. Difficile de > faire du dnat dans ce cas. D'où l'utilité de ip_nat_ftp > ok merci pour ce supplement d'information :) Ce que je regrette c'est le manque de clairté concernant ce genre de parametres :/ Impossible de trouver sur le net. Par contre des que j'ai eu cette commande google est redevenu mon amis :) Alex.
Re: ouvrir un port iptable je suis perdu...
Le dimanche 12 octobre 2003, alde a écrit... bonjour, > > Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT. > > Tes dernières règles n'ont pas de sens (PREROUTING et DNAT) > Tu veux dire que si je met accept mes dernieres regles ne servent a rien ? Je veux dire que mettre ACCEPT par défaut n'est pas bon. Après tout l'option -g de nmap doit bien servir à quelque chose... Concernant le DNAT: * lorsque tu te connectes en temps que _client_, il t'est attribué un n° de port sup à 1023 mais qui n'est pas déterminé à l'avance (sauf applis faites pour, nmap -g par exemple.). La table de connexion est là pour gérer les correspondances. * tu voudras faire du dnat lorsque tu offres un service qui n'est pas directement connecté au web, car le correspondant ne connait que la passerelle. Le dnat est fait pour envoyer les paquets vers une machine et un port donné et prévisible, qui n'est pê pas le port sur lequel croit se connecter le correspondant d'ailleurs.. * dans le cas du ftp actif le client se comporte en serveur donc offre un service mais sur un port qui n'est pas déterminable. Difficile de faire du dnat dans ce cas. D'où l'utilité de ip_nat_ftp -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: [RESOLU]RE: ouvrir un port iptable je suis perdu...
Le dimanche 12 octobre 2003, alde a écrit... bonjour, > J'ai confondu avec cette commande : modprobe ip_conntrack_ftp T'as confondu mais ne l'enlève pas. Ce module sert à traquer les connexions ftp passives. Ce que tu as fait lorsque tu as téléchargé la maj de l'av à partir d'un client W$, probablement configuré pour faire du passif par défaut (sinon tu n'y serais pas arrivé...) -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
[RESOLU]RE: ouvrir un port iptable je suis perdu...
> > Comme l'a dit Yann Forget il y a un moment il doit te manquer le module > > ip_nat_ftp qui va permettre d'avoir la correspondance avec le réseau > > puisque pour le serveur ftp, le correspondant est la passerelle. > > > > ok je vais voir ce que me dis mon amis google la dessus. Il me manque un > truc :) > Bon je vais chercher un fouet et me flageler... C'etait bien ca : modprobe ip_nat_ftp Ca marche nickel :) J'ai confondu avec cette commande : modprobe ip_conntrack_ftp Merci à tous et en particulier a Yann pour avoir soulever le pb et à Jean-Michel pour toutes les explications détaillées :)
RE: ouvrir un port iptable je suis perdu...
> > En effet on voit bien qu'il y a un ping time out donc que mon serveur > > interdit l'acces :/ > 18 6.809982 80.8.117.68 -> 213.35.101.4 FTP Request: PORT >192,168,0,1,4,70 > 19 6.861383 213.35.101.4 -> 80.8.117.68 FTP Response: 200 PORT >command successful > 24 30.854878 213.35.101.4 -> 80.8.117.68 FTP Response: 550 > Cannot connect to 192.168.0.1:1092 - timed out. > > Passage en mode actif, mais je ne comprends pas pourquoi il veut > contacter le port 1092 alors que le client lui donne 256*4 + 70 = 1094 > > Comme l'a dit Yann Forget il y a un moment il doit te manquer le module > ip_nat_ftp qui va permettre d'avoir la correspondance avec le réseau > puisque pour le serveur ftp, le correspondant est la passerelle. > ok je vais voir ce que me dis mon amis google la dessus. Il me manque un truc :) > Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT. > Tes dernières règles n'ont pas de sens (PREROUTING et DNAT) > Tu veux dire que si je met accept mes dernieres regles ne servent a rien ? > Et puis je ne connaissais pas cette syntaxe >| > Si tu -quelqu'un- peut m'expliquer ? > echo "1" >| /proc/sys/net/ipv4/ip_forward > Pour ca y'a un historique en fait... Par un moment ip_forward etait par default a 0 lors d'un reboot. Donc dans ce scrypt je le forcais a 1. Je n'ai plus besoin maintenant car j'ai trouvé la source du problème. Alex.
Re: ouvrir un port iptable je suis perdu...
Le dimanche 12 octobre 2003, alde a écrit... bonjour, > En effet on voit bien qu'il y a un ping time out donc que mon serveur > interdit l'acces :/ 18 6.809982 80.8.117.68 -> 213.35.101.4 FTP Request: PORT 192,168,0,1,4,70 19 6.861383 213.35.101.4 -> 80.8.117.68 FTP Response: 200 PORT command successful 24 30.854878 213.35.101.4 -> 80.8.117.68 FTP Response: 550 Cannot connect to 192.168.0.1:1092 - timed out. Passage en mode actif, mais je ne comprends pas pourquoi il veut contacter le port 1092 alors que le client lui donne 256*4 + 70 = 1094 Comme l'a dit Yann Forget il y a un moment il doit te manquer le module ip_nat_ftp qui va permettre d'avoir la correspondance avec le réseau puisque pour le serveur ftp, le correspondant est la passerelle. Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT. Tes dernières règles n'ont pas de sens (PREROUTING et DNAT) Et puis je ne connaissais pas cette syntaxe >| Si tu -quelqu'un- peut m'expliquer ? echo "1" >| /proc/sys/net/ipv4/ip_forward -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
RE: ouvrir un port iptable je suis perdu...
> > > Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de > > > l'actif ? > > Alors ca... Je vais me renseigner. Pour culture perso Quel > difference entre > > passif et actif pour un serveur NAT ? > La réponse serait bien dans la question...Si j'avais à distribuer un > logiciel qui fait client ftp qui se connecte sur mon serveur ftp je le > configurerais pour qu'il demande de l'actif. > Car en mode actif c'est le client ftp qui agit en temps que serveur tcp, > indiquant au serveur un n° de port à contacter et ouvrant la connexion > sur ce port, le serveur ftp initialisant la connexion avec un paquet > drapeau SYN mis à parir du port ftp-data 20. > C'est donc la machine cliente qui fait le turbin ce qui charge moins le > serveur ftp (et la bécane sur laquelle il réside). > > Donc si on part de cette hypothèse: > * pê que tu bloques en FORWARD (car c'est bien sur une autre machine que > se trouve l'av ?) les paquets drapeau syn mis, ce qui peut être une > bonne chose. Moins bonne si le port 20 distant est bloqué dans le tas. > * pê que tu n'autorises pas le forward des connexions RELATED pour le > port ftp-data 20 en source. > oui l'av se trouve sur une autre machine. av sur windows 2000 windows 2000 accede a internet via mon petit serveur debian debian serveur NAT FW dans mes regles iptables le forward est ouvert par defaut. Si je me connecte sur le serveur FTP de l'av avec un client ftp sur le win2k je peux recuperer les fichiers de maj. Je te met en copie mon scrypt IPTABLE. > Pour continuer à faire joujou...tu peux essayer tethereal (ou ethereal > mais c'est en mode graphique et il faut cliquer partout et je ne sais > pas faire) > tethereal -n -w tethereal.log -i eth0 host nomServeur > (Ctrl-C pour stopper) > puis: > tethereal -n -r tethereal.log|less > > Et tu devrais avoir le discours en "clair", avec ce qui se dit entre > l'av et le site ftp, ce qui devrait permettre de voir si ça merdoie et > où. > En effet on voit bien qu'il y a un ping time out donc que mon serveur interdit l'acces :/ (c pas trop propre le fichier généré donc je le met aussi en PJ. (J'ai pas testé l'interface graphique mon petit serveur n'est pas assez puissant pour supporter un serveur x ;o) ) Alex. iptables.sh Description: Binary data tethereal.log Description: Binary data
Re: ouvrir un port iptable je suis perdu...
Le dimanche 12 octobre 2003, alde a écrit... bonjour, > > Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de > > l'actif ? > Alors ca... Je vais me renseigner. Pour culture perso Quel difference entre > passif et actif pour un serveur NAT ? La réponse serait bien dans la question...Si j'avais à distribuer un logiciel qui fait client ftp qui se connecte sur mon serveur ftp je le configurerais pour qu'il demande de l'actif. Car en mode actif c'est le client ftp qui agit en temps que serveur tcp, indiquant au serveur un n° de port à contacter et ouvrant la connexion sur ce port, le serveur ftp initialisant la connexion avec un paquet drapeau SYN mis à parir du port ftp-data 20. C'est donc la machine cliente qui fait le turbin ce qui charge moins le serveur ftp (et la bécane sur laquelle il réside). Donc si on part de cette hypothèse: * pê que tu bloques en FORWARD (car c'est bien sur une autre machine que se trouve l'av ?) les paquets drapeau syn mis, ce qui peut être une bonne chose. Moins bonne si le port 20 distant est bloqué dans le tas. * pê que tu n'autorises pas le forward des connexions RELATED pour le port ftp-data 20 en source. Pour continuer à faire joujou...tu peux essayer tethereal (ou ethereal mais c'est en mode graphique et il faut cliquer partout et je ne sais pas faire) tethereal -n -w tethereal.log -i eth0 host nomServeur (Ctrl-C pour stopper) puis: tethereal -n -r tethereal.log|less Et tu devrais avoir le discours en "clair", avec ce qui se dit entre l'av et le site ftp, ce qui devrait permettre de voir si ça merdoie et où. PS: mille merci à François pour sa ruse de sioux sur le champ From: ar sur la nuit je n'enregistre que 7 Swens sur Online, pour 50 sur Libertysurf. -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: ouvrir un port iptable je suis perdu...
Le dimanche 12 octobre 2003, alde a écrit... bonjour, > > Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de > > l'actif ? Pour continuer à faire joujou...tu peux essayer tethereal (ou ethereal mais c'est en mode graphique et il faut cliquer partout et je ne sais pas faire) tethereal -n -w tethereal.log -i eth0 host nomServeur (Ctrl-C pour stopper) puis: tethereal -n -r tethereal.log|less Et tu devrais avoir le discours en "clair", avec ce qui se dit entre l'av et le site ftp, ce qui devrait permettre de voir si ça merdoie et où. -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: ouvrir un port iptable je suis perdu...
le Sun, 12 Oct 2003 02:51:18 +0200, [EMAIL PROTECTED] (François TOURDE) s'exprima en ces termes: > Le 12337ième jour après Epoch, > [EMAIL PROTECTED] écrivait: > > >> > [...] > > > > oki doki c'est pas si tordu que ca tcpdump :) > > > >> > je comprend plus rien ca change de port en permanence :( > >> Ben oui, une connexion est initiée d'un client à partir d'un port > >sup à> 1024 vers un serveur sur un port < 1024, en l'occurence le > >port 21 pour> ftp. > >> > >> > #Ouverture pour download signature ETrust innoculated > >> > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20 > >> -j DNAT --to > >> > 192.168.0.1:20 > >> pourquoi ça ? Il est hors de question qu'un serveur ftp se connecte > >sur> ton port ftp, pour peu que tu en aies un ouvert d'ailleurs. > >> > > > > C'est bien ce que je pensais... C'est inutile. Je vire cette regle. > > > >> Un client se connecte sur un port privé < 1024 à partir d'un port > >> sup à 1024 et un serveur répond à partir d'un port privé < 1024 > >> sur le port du client. > >> > >> Je ne suis pas spécialiste mais je trouve que le dialogue est > >uniquement> sur le service ftp, port 21, mais il n'y a pas d'entrée > >en mode ni> passif ni actif, donc le serveur rencontre un problème > >pour initier une> connexion. > >> > >> Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou > >de> l'actif ? > >> > > > > Alors ca... Je vais me renseigner. Pour culture perso Quel > > difference entre passif et actif pour un serveur NAT ? > > Majeur la différence... En FTP non passif, le serveur FTP se connecte > à un numéro de port que le client lui donne, et les firewalls qui font > NAT sont pas prévus pour répondre... > > En mode passif, c'est le client qui se connecte en mode data sur le > serveur. Du coup, les FW NAT considèrent la connection comme valide. Autre version: - en passif c'est le client qui _initie_ la connection de données vers le serveur, donc le serveur reste passif et la connection est "dirigée" du client vers le serveur (sortante du point de vue du client) - en actif c'est le serveur qui se connecte au client, donc serveur actif et connection "dirigée" du serveur vers le client (entrante du point de vue du client). Donc quand ton client est derrière un FW: - soit seuls certains ports en entrant et sortant sont autorisés => FTP impossible - soit tous les ports sont ouverts en sortant, et certains en entrant => FTP passif uniquement Sans firewall, ftp actif ou passif. /N paraphraseur du dimanche __ Nicolas Rueff <[EMAIL PROTECTED]> http://rueff.tuxfamily.org +33 6 77 64 44 80 -- Those who do not understand Unix are condemned to reinvent it, poorly. -- Henry Spencer __ pgpOe3eXtQmPK.pgp Description: PGP signature
Re: ouvrir un port iptable je suis perdu...
le Sat, 11 Oct 2003 23:20:23 +0200, Jean-Michel OLTRA <[EMAIL PROTECTED]> s'exprima en ces termes: > Le samedi 11 octobre 2003, Nicolas Rueff a écrit... > bonjour, > > > > > > 192.168.0.1:1211 > > > Non. > > > Tiens, pourquoi donc ? Ça me parait assez standard pourtant ? > > J'en sais rienLa sortie de tcpdump est comme ça. Le port est en > dernier après l'ip/nom de machine et séparé par un point > Pê que c'est plus facile à parser avec un séparateur identique ? Ça risque aussi de leurrer le débutant: les adresses xxx.xxx.xxx.xxx appartiennent au protocole IP, les ports sont l'adressage TCP. Deux niveuax différents, donc mieux vaux les différencier par la notation. /N __ Nicolas Rueff <[EMAIL PROTECTED]> http://rueff.tuxfamily.org +33 6 77 64 44 80 -- Given its constituency, the only thing I expect to be "open" about [the Open Software Foundation] is its mouth. -- John Gilmore __ pgpBKKKU4TrJD.pgp Description: PGP signature
Re: ouvrir un port iptable je suis perdu...
Le samedi 11 octobre 2003, Nicolas Rueff a écrit... bonjour, > > > 192.168.0.1:1211 > > Non. > Tiens, pourquoi donc ? Ça me parait assez standard pourtant ? J'en sais rienLa sortie de tcpdump est comme ça. Le port est en dernier après l'ip/nom de machine et séparé par un point Pê que c'est plus facile à parser avec un séparateur identique ? -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: ouvrir un port iptable je suis perdu...
Le 12337ième jour après Epoch, [EMAIL PROTECTED] écrivait: >> > [...] > > oki doki c'est pas si tordu que ca tcpdump :) > >> > je comprend plus rien ca change de port en permanence :( >> Ben oui, une connexion est initiée d'un client à partir d'un port sup à >> 1024 vers un serveur sur un port < 1024, en l'occurence le port 21 pour >> ftp. >> >> > #Ouverture pour download signature ETrust innoculated >> > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20 >> -j DNAT --to >> > 192.168.0.1:20 >> pourquoi ça ? Il est hors de question qu'un serveur ftp se connecte sur >> ton port ftp, pour peu que tu en aies un ouvert d'ailleurs. >> > > C'est bien ce que je pensais... C'est inutile. Je vire cette regle. > >> Un client se connecte sur un port privé < 1024 à partir d'un port >> sup à 1024 et un serveur répond à partir d'un port privé < 1024 >> sur le port du client. >> >> Je ne suis pas spécialiste mais je trouve que le dialogue est uniquement >> sur le service ftp, port 21, mais il n'y a pas d'entrée en mode ni >> passif ni actif, donc le serveur rencontre un problème pour initier une >> connexion. >> >> Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de >> l'actif ? >> > > Alors ca... Je vais me renseigner. Pour culture perso Quel difference entre > passif et actif pour un serveur NAT ? Majeur la différence... En FTP non passif, le serveur FTP se connecte à un numéro de port que le client lui donne, et les firewalls qui font NAT sont pas prévus pour répondre... En mode passif, c'est le client qui se connecte en mode data sur le serveur. Du coup, les FW NAT considèrent la connection comme valide. -- Just because everything is different doesn't mean anything has changed. -- Irene Peter
Re: ouvrir un port iptable je suis perdu...
Le 12336ième jour après Epoch, Nicolas Rueff écrivait: > le Sat, 11 Oct 2003 22:04:43 +0200, Jean-Michel OLTRA > <[EMAIL PROTECTED]> s'exprima en ces termes: > >> Le samedi 11 octobre 2003, marco a écrit... >> bonjour, >> >> >> > Bon ben si c'est uin port, la syntaxe devrait ressembler à ça : >> >> > 192.168.0.1:1211 >> >> Non. > > Tiens, pourquoi donc ? Ça me parait assez standard pourtant ? Non... man tcpdump -- Raising pet electric eels is gaining a lot of current popularity.
Re: ouvrir un port iptable je suis perdu...
Le 12336ième jour après Epoch, daniel huhardeaux écrivait: > alde wrote: > 16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com tcpdump: listening on eth0 16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S >>> >>> C'est quoi cette adresse IP ? >> >>Ben l'adresse local de mon win2k pourquoi ? >> > 1211, c'est ca? Le maximum est 254, 255 etant l'adresse > broadcast. M'etonne pas alors que ca ne marche pas! Ben relis tout ça... Tu vas voir que une adresse IP c'est sur 4 digit l'adresse ip, et que donc la suite c'est probablement le N° de port... -- Ego sum ens omnipotens.
RE: ouvrir un port iptable je suis perdu...
> > [...] oki doki c'est pas si tordu que ca tcpdump :) > > je comprend plus rien ca change de port en permanence :( > Ben oui, une connexion est initiée d'un client à partir d'un port sup à > 1024 vers un serveur sur un port < 1024, en l'occurence le port 21 pour > ftp. > > > #Ouverture pour download signature ETrust innoculated > > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20 > -j DNAT --to > > 192.168.0.1:20 > pourquoi ça ? Il est hors de question qu'un serveur ftp se connecte sur > ton port ftp, pour peu que tu en aies un ouvert d'ailleurs. > C'est bien ce que je pensais... C'est inutile. Je vire cette regle. > Un client se connecte sur un port privé < 1024 à partir d'un port > sup à 1024 et un serveur répond à partir d'un port privé < 1024 > sur le port du client. > > Je ne suis pas spécialiste mais je trouve que le dialogue est uniquement > sur le service ftp, port 21, mais il n'y a pas d'entrée en mode ni > passif ni actif, donc le serveur rencontre un problème pour initier une > connexion. > > Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de > l'actif ? > Alors ca... Je vais me renseigner. Pour culture perso Quel difference entre passif et actif pour un serveur NAT ? > -- > Jean-Michel > Alex. Merci JM pour l'interet que tu portes a mon pb :)
Re: ouvrir un port iptable je suis perdu...
le Sat, 11 Oct 2003 22:04:43 +0200, Jean-Michel OLTRA <[EMAIL PROTECTED]> s'exprima en ces termes: > Le samedi 11 octobre 2003, marco a écrit... > bonjour, > > > > Bon ben si c'est uin port, la syntaxe devrait ressembler à ça : > > > 192.168.0.1:1211 > > Non. Tiens, pourquoi donc ? Ça me parait assez standard pourtant ? /N __ Nicolas Rueff <[EMAIL PROTECTED]> http://rueff.tuxfamily.org +33 6 77 64 44 80 -- 2fort5 sucks enough to have its own gravity ... __ pgpu26VgtmU7J.pgp Description: PGP signature
Re: ouvrir un port iptable je suis perdu...
Le samedi 11 octobre 2003, alde a écrit... bonjour, > 16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com ah ! > 16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S > 4017219278:4017219278(0) win 16384 (DF) demande de connexion, drapeau syn S > 16:42:27.217893 ftpav.ca.com.ftp > 192.168.0.1.1211: S > 1087449675:1087449675(0) ack 4017219279 win 65340 > (DF) ok, le serveur ack le syn et renvoie un syn > 16:42:27.218338 192.168.0.1.1211 > ftpav.ca.com.ftp: . ack 1 win 17424 (DF) ack du syn du serveur ftp > 16:42:27.285282 ftpav.ca.com.ftp > 192.168.0.1.1211: P 1:67(66) ack 1 win > 65340 (DF) début du l'envoi des données. push P de 66 octets et ack du paquet précédent. > 16:42:27.285794 192.168.0.1.1211 > ftpav.ca.com.ftp: P 1:17(16) ack 67 win > 17358 (DF) réponse de ta machine qui push quelque chose (16 octets) et ack du pa quet précédent (regarder les n° de séquence) [snip] et on continue à causer... > je comprend plus rien ca change de port en permanence :( Ben oui, une connexion est initiée d'un client à partir d'un port sup à 1024 vers un serveur sur un port < 1024, en l'occurence le port 21 pour ftp. > #Ouverture pour download signature ETrust innoculated > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20 -j DNAT --to > 192.168.0.1:20 pourquoi ça ? Il est hors de question qu'un serveur ftp se connecte sur ton port ftp, pour peu que tu en aies un ouvert d'ailleurs. Un client se connecte sur un port privé < 1024 à partir d'un port sup à 1024 et un serveur répond à partir d'un port privé < 1024 sur le port du client. Je ne suis pas spécialiste mais je trouve que le dialogue est uniquement sur le service ftp, port 21, mais il n'y a pas d'entrée en mode ni passif ni actif, donc le serveur rencontre un problème pour initier une connexion. Il veut quoi ton antivirus ? tu peux le savoir ? du ftp passif ou de l'actif ? -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: ouvrir un port iptable je suis perdu...
Le samedi 11 octobre 2003, marco a écrit... bonjour, > Bon ben si c'est uin port, la syntaxe devrait ressembler à ça : > 192.168.0.1:1211 Non. -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: ouvrir un port iptable je suis perdu...
On Sat, 11 Oct 2003 19:49:09 +0200 "alde" <[EMAIL PROTECTED]> wrote: > > Bon ok je suis debutant sous linux mais quand meme :) > > 192.168.0.1 => adresse local > 1211 => le port utilise... Bon ben si c'est uin port, la syntaxe devrait ressembler à ça : 192.168.0.1:1211 > > Bonne nuit ;o) aussi > Alex. > > -- marco -- Clé PGP publique : https://iftbqp.mine.nu/marco.asc pgprS4DW7M1oX.pgp Description: PGP signature
RE: ouvrir un port iptable je suis perdu...
> >>>16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com > >>>tcpdump: listening on eth0 > >>>16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S > >>> > >>> > >>> > >> > > >>C'est quoi cette adresse IP ? > >> > >> > >> > > > >Ben l'adresse local de mon win2k pourquoi ? > > > > > 1211, c'est ca? Le maximum est 254, 255 etant l'adresse broadcast. > M'etonne pas alors que ca ne marche pas! > > -- Bon ok je suis debutant sous linux mais quand meme :) 192.168.0.1 => adresse local 1211 => le port utilise... Bonne nuit ;o) Alex.
Re: ouvrir un port iptable je suis perdu...
alde wrote: 16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com tcpdump: listening on eth0 16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S C'est quoi cette adresse IP ? Ben l'adresse local de mon win2k pourquoi ? 1211, c'est ca? Le maximum est 254, 255 etant l'adresse broadcast. M'etonne pas alors que ca ne marche pas! -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
RE: ouvrir un port iptable je suis perdu...
> > > >16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com > >tcpdump: listening on eth0 > >16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S > > > > C'est quoi cette adresse IP ? > Ben l'adresse local de mon win2k pourquoi ? Alex.
Re: ouvrir un port iptable je suis perdu...
alde wrote: [...] 16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com tcpdump: listening on eth0 16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S C'est quoi cette adresse IP ? -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
RE: ouvrir un port iptable je suis perdu...
> bonjour, > > > > tcpdump me revoit : > Tu es sur quelle machine quand tu as lancé tcpdump ? > sur le serveur directement. > > 11:20:12.893435 192.168.0.1.1125 > ftpav.ca.com.ftp: F > 160:160(0) ack 283 > > win 17142 (DF) > parce que là je vois une ip de réseau interne, donc t'es pas sur la > passerelle je pense que tu aurais une ip publique masqueradée. > > Premier paquet que tu donnes, mais je ne sais pas où tu en es dans la > connexion, tu envoies une fermeture de connexion sur le serveur ftp avec > un paquet qui possède un flag FIN (F) > > > 11:20:13.001382 ftpav.ca.com.ftp > 192.168.0.1.1125: . ack 161 win 65340 > > (DF) > le serveur distant accepte la fermeture de connexion avec un ack > > > 11:20:27.838429 ftpav.ca.com.ftp > 192.168.0.1.1117: FP > 0:53(53) ack 1 win > > 65340 (DF) > Et il ferme aussi en t'envoyant quelques bricoles de data. > Interressant et beaucoup plus clair que le man merci :) > > Etant completement novice je me dis bon ok pour le port 1125 et > 1117. (au > > passage j'ouvre le port 20 et 21 en nat). > Pourquoi ? Tu devrais faire de la doc sur le fonctionnement d'iptables. > > Le serveur ftp envoie des données du port 21 vers un port > 1024 en mode > actif, et d'un port > 1024 vers un port > 1024 en mode passif. Le port > 20 n'est qu'un port de commande. > > Donc il y a un problème au niveau de la transmission de ton AV au > serveur ftp, dirais je, si tu nous donnes là le début du _dialogue_, > puisque tu nous montre une terminaison de connexion. > > Il faudrait le début de la connexion, pour voir si quelque chose est > initié. > voila ce que j'ai en globalité : 16:42 [EMAIL PROTECTED] ~# tcpdump -i eth0 host ftpav.ca.com tcpdump: listening on eth0 16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S 4017219278:4017219278(0) win 16384 (DF) 16:42:27.217893 ftpav.ca.com.ftp > 192.168.0.1.1211: S 1087449675:1087449675(0) ack 4017219279 win 65340 (DF) 16:42:27.218338 192.168.0.1.1211 > ftpav.ca.com.ftp: . ack 1 win 17424 (DF) 16:42:27.285282 ftpav.ca.com.ftp > 192.168.0.1.1211: P 1:67(66) ack 1 win 65340 (DF) 16:42:27.285794 192.168.0.1.1211 > ftpav.ca.com.ftp: P 1:17(16) ack 67 win 17358 (DF) 16:42:27.308539 ftpav.ca.com.ftp > 192.168.0.1.1211: . ack 17 win 65340 (DF) 16:42:27.308807 ftpav.ca.com.ftp > 192.168.0.1.1211: P 67:135(68) ack 17 win 65340 (DF) 16:42:27.309272 192.168.0.1.1211 > ftpav.ca.com.ftp: P 17:48(31) ack 135 win 17290 (DF) 16:42:27.332934 ftpav.ca.com.ftp > 192.168.0.1.1211: P 135:194(59) ack 48 win 65340 (DF) 16:42:27.446957 192.168.0.1.1211 > ftpav.ca.com.ftp: . ack 194 win 17231 (DF) 16:42:27.471922 ftpav.ca.com.ftp > 192.168.0.1.1211: P 194:228(34) ack 48 win 65340 (DF) 16:42:27.498065 192.168.0.1.1211 > ftpav.ca.com.ftp: P 48:56(8) ack 228 win 17197 (DF) 16:42:27.636970 ftpav.ca.com.ftp > 192.168.0.1.1211: P 228:244(16) ack 56 win 65340 (DF) 16:42:27.642966 192.168.0.1.1211 > ftpav.ca.com.ftp: P 56:80(24) ack 244 win 17181 (DF) 16:42:27.693091 ftpav.ca.com.ftp > 192.168.0.1.1211: P 244:274(30) ack 80 win 65340 (DF) 16:42:27.693653 192.168.0.1.1211 > ftpav.ca.com.ftp: P 80:120(40) ack 274 win 17151 (DF) 16:42:27.779539 ftpav.ca.com.ftp > 192.168.0.1.1211: P 274:283(9) ack 120 win 65340 (DF) 16:42:27.780290 192.168.0.1.1211 > ftpav.ca.com.ftp: P 120:160(40) ack 283 win 17142 (DF) 16:42:27.989326 ftpav.ca.com.ftp > 192.168.0.1.1211: . ack 160 win 65340 (DF) je comprend plus rien ca change de port en permanence :( > > #Ouverture pour download signature ETrust innoculated > > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:20 -j > > DNAT --to 192.168.0.1:20 > > iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j > > ACCEPT > oups oups oups. > Lis le netfilter-HOWTO > renseignes toi sur tcp. vi vi petite correction :p #Ouverture pour download signature ETrust innoculated iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20 -j DNAT --to 192.168.0.1:20 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 21 -j DNAT --to 192.168.0.1:21 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 21 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1113 -j DNAT --to 192.168.0.1:1113 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1113 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1117 -j DNAT --to 192.168.0.1:1117 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1117 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1119 -j DNAT --to 192.168.0.1:1119 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1119 -j ACCEPT
Re: ouvrir un port iptable je suis perdu...
Le samedi 11 octobre 2003, alde a écrit... bonjour, > tcpdump me revoit : Tu es sur quelle machine quand tu as lancé tcpdump ? > 11:20:12.893435 192.168.0.1.1125 > ftpav.ca.com.ftp: F 160:160(0) ack 283 > win 17142 (DF) parce que là je vois une ip de réseau interne, donc t'es pas sur la passerelle je pense que tu aurais une ip publique masqueradée. Premier paquet que tu donnes, mais je ne sais pas où tu en es dans la connexion, tu envoies une fermeture de connexion sur le serveur ftp avec un paquet qui possède un flag FIN (F) > 11:20:13.001382 ftpav.ca.com.ftp > 192.168.0.1.1125: . ack 161 win 65340 > (DF) le serveur distant accepte la fermeture de connexion avec un ack > 11:20:27.838429 ftpav.ca.com.ftp > 192.168.0.1.1117: FP 0:53(53) ack 1 win > 65340 (DF) Et il ferme aussi en t'envoyant quelques bricoles de data. > Etant completement novice je me dis bon ok pour le port 1125 et 1117. (au > passage j'ouvre le port 20 et 21 en nat). Pourquoi ? Tu devrais faire de la doc sur le fonctionnement d'iptables. Le serveur ftp envoie des données du port 21 vers un port > 1024 en mode actif, et d'un port > 1024 vers un port > 1024 en mode passif. Le port 20 n'est qu'un port de commande. Donc il y a un problème au niveau de la transmission de ton AV au serveur ftp, dirais je, si tu nous donnes là le début du _dialogue_, puisque tu nous montre une terminaison de connexion. Il faudrait le début de la connexion, pour voir si quelque chose est initié. > #Ouverture pour download signature ETrust innoculated > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:20 -j > DNAT --to 192.168.0.1:20 > iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j > ACCEPT oups oups oups. Lis le netfilter-HOWTO renseignes toi sur tcp. -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: ouvrir un port iptable je suis perdu...
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Il ne te manquerais pas un module comme ip_nat_ftp.o par hasard ? Yann Le Thursday 09 October 2003 20:00, Decorny Alexandre a écrit : > > Apres quelques recherches, je me suis rendu compte que e-trust ce connecte > avec le port 80 (http) et reçois les maj par ftp sur un port que je ne > connais pas :( > > pour info j'ai le port "classique" ftp ouvert : > > # Autorisation FTP > iptables -A INPUT -p tcp --dport 20 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT > iptables -A INPUT -p tcp --dport 21 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT - -- http://www.non-violence.org/ | Site collaboratif sur la non-violence http://www.forget-me.net/ | Alternatives sur le Net http://fr.wikipedia.org/ | Encyclopédie libre http://www.forget-me.net/pro/ | Formations et services Linux -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iD8DBQE/h/mam4KYjQo0y9oRAidRAJ4s2HfkdsBS/AjO3rVzPULsD8BBaQCgrB1z /Pe5n8acflec2Zb+4mASJds= =NU4O -END PGP SIGNATURE-
RE: ouvrir un port iptable je suis perdu...
>Si tu connais l'ip du serveur AV >tcpdump -i interface host serveur >(ajouter -n si tu donnes une ip et pas un nom pour "serveur") >très bourrin mais ça te donnera tout le dialogue vers serveur >ou bien: >tcpdump -n -i interface src port 80 and src host ipServeur >devrait te ramener le dialogue du port 80 en provenance de ipServeur, >ton serveur AV, vers la machine qui reçoit les paquets et son port. >man tcpdump >-- >Jean-Michel merci pour cette reponse je pense avancer à petit tres petit pas. tcpdump me revoit : 11:20:12.893435 192.168.0.1.1125 > ftpav.ca.com.ftp: F 160:160(0) ack 283 win 17142 (DF) 11:20:13.001382 ftpav.ca.com.ftp > 192.168.0.1.1125: . ack 161 win 65340 (DF) 11:20:27.838429 ftpav.ca.com.ftp > 192.168.0.1.1117: FP 0:53(53) ack 1 win 65340 (DF) Etant completement novice je me dis bon ok pour le port 1125 et 1117. (au passage j'ouvre le port 20 et 21 en nat). #Ouverture pour download signature ETrust innoculated iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:20 -j DNAT --to 192.168.0.1:20 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:21 -j DNAT --to 192.168.0.1:21 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 21 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:1117 -j DNAT --to 192.168.0.1:1117 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1117 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:1117 -j DNAT --to 192.168.0.1:1117 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1117 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:1125 -j DNAT --to 192.168.0.1:1125 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1125 -j ACCEPT iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:1125 -j DNAT --to 192.168.0.1:1125 iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1125 -j ACCEPT Malheureusement toujours pas le resultat attendu o_O je commence a desesperer :( Alex.
Re: ouvrir un port iptable je suis perdu...
Le vendredi 10 octobre 2003, alde a écrit... bonjour, > En fait mon antivirus envoi une demande au serveur ETrust sur le port 80 et > recois les maj sur un autre port. C'est ce port que je n'arrive pas a > ouvrir. > Tcpdump bonne idée ais je n'arrive pas a assimiler la syntaxe :/ Si tu connais l'ip du serveur AV tcpdump -i interface host serveur (ajouter -n si tu donnes une ip et pas un nom pour "serveur") très bourrin mais ça te donnera tout le dialogue vers serveur ou bien: tcpdump -n -i interface src port 80 and src host ipServeur devrait te ramener le dialogue du port 80 en provenance de ipServeur, ton serveur AV, vers la machine qui reçoit les paquets et son port. man tcpdump -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
RE: ouvrir un port iptable je suis perdu...
Quelques pistes de débogage: lister les règles et regarder si il n'y en pas une qui bloque en amont. faire des tcpdump sur la passerelle pour examiner les requêtes qui arrivent et celles qui sortent. Tu pourras ainsi, en plus de déboguer ton antivirus, voir ce qu'il demande et où. -- Jean-Michel * En fait mon antivirus envoi une demande au serveur ETrust sur le port 80 et recois les maj sur un autre port. C'est ce port que je n'arrive pas a ouvrir. Tcpdump bonne idée ais je n'arrive pas a assimiler la syntaxe :/ Merci. Alex.
Re: ouvrir un port iptable je suis perdu...
Le vendredi 10 octobre 2003, k.panic a écrit... bonjour, > >Si vous avez une solution ou un début de piste je vous en remercie par > >avance. Quelques pistes de débogage: lister les règles et regarder si il n'y en pas une qui bloque en amont. faire des tcpdump sur la passerelle pour examiner les requêtes qui arrivent et celles qui sortent. Tu pourras ainsi, en plus de déboguer ton antivirus, voir ce qu'il demande et où. -- Jean-Michel N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Re: ouvrir un port iptable je suis perdu...
Decorny Alexandre wrote: Bonsoir la liste, J'ai besoin d'un petit coup de pouce... J'utilise Debian pour un serveur nat. Les machines qui se connectent sont une debian et un win2k. Sur le win2k j'utilise E-trust innoculated. C'est la que le problème arrive... Je n'arrive pas a télécharger les mise a jour de cet antivirus. Pourtant j'ai les règles NAT adéquate (je suppose...) #REGLE FORWARDING # Toutes les connexions qui sortent du LAN vers le Net sont acceptées #iptables -A FORWARD -i lo -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Seules les connexions déjà établies sont acceptées venant du Net vers le LAN #iptables -A FORWARD -i ppp0 -o lo -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Apres quelques recherches, je me suis rendu compte que e-trust ce connecte avec le port 80 (http) et reçois les maj par ftp sur un port que je ne connais pas :( pour info j'ai le port "classique" ftp ouvert : # Autorisation FTP iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT Là en l'occurence ton port est ouvert sur ta passerrelle. Il n'est pas forwardé vers ton client donc selon moi cette règle ne te sert à rien, à moins d'avoir un serveur ftp sur ta passerelle. Deplus je suis assez surpris que ton antivirus serve de server ftp. Ne serait-ce pas plutot un client ftp vers ton serveur de MAJ ? Je cherche depuis plus d'une semaine un moyen de router ces paquets sur mon win2k sans succès :( Je n'arrive même pas a voir par quel port passe les dits paquets. J'ai fouillé dans les docs iptables et je suis incapable de loguer les paquets refusé. J'ai aussi essayé de suivre les paquet avec iptraf mais sans succès :( J'en viens donc aux experts : La liste debian ;o) Si vous avez une solution ou un début de piste je vous en remercie par avance. Alex.