Re: iptables et ftp/tls
Jérôme Schneider a écrit : Le Samedi 5 Novembre 2005 17:15, David Hannequin a écrit : Bonjour, J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien en local. Tu a surement des règles plus permissives pour le réseau local. J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé. Il faut également charger ip_nat_ftp si tu utilise NAT. Qu'est ce qu'il faut faire pour le firewall ? Je ne peux malheuresement pas te répondre car j'ai le même problème : le ftp passe très bien en claire (en passif et actif) depuis l'extérieur, mais dès que j'utilise le TLS ça ne marche plus (le mode passif et actif bloque). Visiblement contrack_ftp ne marche pas lorsque le ftp est en TLS ou SSL. Ce que j'ai lu semble le confirmer, c'est visiblement un bug connu depuis longtemps (c'était des mails de 2004). Je ne pense pas que se soit un bug. En effet, ip_contrack_ftp et ip_nat_ftp fonctionnent de la meme facon: ils analysent le contenu des commandes qui passent par le canal de control. Par definition, TLS encrypte ce canal, les modules ip_contrack_ftp et ip_nat_ftp ne peuvent donc plus se servir de ce canal pour determiner les ports data a ouvrir et encore moins réécrire les commandes dans la cas de ip_nat_ftp. Bref je ne sais pas quoi faire soit passer en claire, soit mettre des règles iptables permissives. Enfin il existe peut être une solution pour contourner ce problème, sans avoir des règles iptables trop laxiste. Les seules solutions possibles sont du type proxy. J'ai deja vu des solutions de ce type pour https: un proxy intercepte les sessions HTTPS et c'est le proxy qui ouvre la session TLS avec le serveur, c'est un genre de man in the middle mais légale. Enfin, je n'ai jamais mis en place des solutions de ce type, dans la pratique l'aspect légal de la solution ne doit pas etre si evident car il faut reconfigurer les clients pour qu'ils ne se plaignent pas du fait que se sont les proxys qui attablissent la session TLS et non le serveur distant. ++ Jérôme -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables et ftp/tls
Salut, David Hannequin a écrit : J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien en local. J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé. Comme d'autres l'ont déjà expliqué, le chiffrage complet du contenu de la connexion de contrôle (port 21) empêche le suivi de connexion de Netfilter de prendre connaissance des caractéristiques des connexions de données (transmises par les commandes PASV/EPSV et PORT/EPRT) à classer comme RELATED, et de modifier le couple adresse/port transmis en cas de NAT. Qu'est ce qu'il faut faire pour le firewall ? Pour faire fonctionner les transferts en mode actif (connexion établie dans le sens serveur - client), il suffit normalement d'accepter et le cas écheant de NATer/MASQer toute connexion sortante émise à partir du port source 20 (ftp-data). Pour les transferts en mode passif (connexion établie dans le sens client - serveur), c'est plus délicat. Il faut voir au niveau de vsftpd si celui-ci permet de restreindre les ports à utiliser pour les connexions de données à une plage donnée, et ouvrir/rediriger cette plage de ports dans le firewall. D'autre part, si le serveur est NATé, il faut pouvoir spécifier dans la configuration de vsftpd l'adresse publique à transmettre. Ne connaissant pas vsftpd, je ne saurais dire si tout cela est faisable. Le mode FTP passif est dit firewall friendly, mais ce n'est vrai que si on se place côté client. Côté serveur, c'est tout le contraire ! Alternativement, utiliser SFTP/SSH à la place de FTP/TSL. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables et ftp/tls
David Hannequin a écrit : J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé. Petite précision : en FTP normal (pas de SSL/TLS), s'il y a du NAT entre le serveur et le client comme le laisse entendre forwarder les ports, il faut aussi charger le module ip_nat_ftp. D'autre part, il est inutile de rediriger le port 20 vers le serveur : - ce port est utilisé comme port source pour des connexions sortantes du serveur vers le client en mode actif ; - la connexion de données passive ou active est marquée RELATED par ip_conntrack_ftp et NATée comme il faut par ip_nat_ftp, rien de spécial à faire donc à part accepter les paquets RELATED. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
iptables et ftp/tls
Bonjour, J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien en local. J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé. Google n'a rien donné. Qu'est ce qu'il faut faire pour le firewall ? Cordialement -- David Hannequin CFPPA de Roanne 5 rue Emile Noirot 42 300 ROANNE Tel 04 77 71 63 44 -- Toute Ressemblance avec des fautes d'orthographe, de grammaire ou de conjugaison existantes ou ayant existé serait entièrement fortuite et indépendante de la volonté de l'auteur. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables et ftp/tls
Le Samedi 5 Novembre 2005 17:15, David Hannequin a écrit : Bonjour, J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont derrière un firewall(iptables). Le firewall empéche de les connexions depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien en local. Tu a surement des règles plus permissives pour le réseau local. J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou se trouve le ftp et ip_contrack_ftp est bien chargé. Il faut également charger ip_nat_ftp si tu utilise NAT. Qu'est ce qu'il faut faire pour le firewall ? Je ne peux malheuresement pas te répondre car j'ai le même problème : le ftp passe très bien en claire (en passif et actif) depuis l'extérieur, mais dès que j'utilise le TLS ça ne marche plus (le mode passif et actif bloque). Visiblement contrack_ftp ne marche pas lorsque le ftp est en TLS ou SSL. Ce que j'ai lu semble le confirmer, c'est visiblement un bug connu depuis longtemps (c'était des mails de 2004). Bref je ne sais pas quoi faire soit passer en claire, soit mettre des règles iptables permissives. Enfin il existe peut être une solution pour contourner ce problème, sans avoir des règles iptables trop laxiste. ++ Jérôme
