Re: Iptable + ftp + ssh

Tue, 24 Jul 2001 07:24:26 -0500 

En r�ponse � Amaury Amblard-Ladurantie <[EMAIL PROTECTED]>:

> > J\'ai un probl�me avec ma configuration iptables,
> > en effet je n\'arrive pas me connect� sur ma machine depuis
> > l\'ext�rieur...
> > J\'ai commenc� par essayer ces r�gles (dont hports=\"1024:\"):
> >
> >  $IPTABLES -A INPUT -j ACCEPT -p TCP -i ppp0 --sport $hports --dport
> 21
> >  $IPTABLES -A INPUT -j ACCEPT -p TCP -i ppp0 --sport $hports --dport
> 80
> >  $IPTABLES -A INPUT -j ACCEPT -p TCP -i ppp0 --sport $hports --dport
> 110
> >  $IPTABLES -A INPUT -j ACCEPT -p TCP -i ppp0 --sport $hports --dport
> 25
> > J\'acc�de seulement au serveur web et ftp (ftp avec difficult�)
> 
> Est ce que tu acceptes les connexion \"established\" et les \"related\" (je
> pense 
> notament au ftp)
> 
> Je pense que le source port est plus paranoiaque qu\'autre chose (a moins
> que 
> tu n\'aies une raison particuliere our faire cela)
> 
> > Alors j\'ai fini par essayer ces r�gles :
> >  $IPTABLES -A INPUT -j ACCEPT -p TCP -i ppp0  --dport 21
> >  $IPTABLES -A INPUT -j ACCEPT -p TCP -i ppp0  --dport 80
> >  $IPTABLES -A INPUT -j ACCEPT -p TCP -i ppp0  --dport 110
> >  $IPTABLES -A INPUT -j ACCEPT -p TCP -i ppp0  --dport 25
> > Ici j\'acc�de seulement au serveur seulement web et pop (je crois)
> 
> mmm c\'est vraiment bizarre. Soit tu as mis d\'autres regles avant qui
> modfient 
> ce comportement, soit c\'est au niveau des serveurs eux memes.
> 
> J\'espere tout de meme que ta machine a acces au port 53 en UDP vers 
> l\'exterieur (DNS), c\'est souvent un truc qu\'on oublie.
> 
> Bref je peux te garantir que *ces regles la* sont correctes. Maintenant
> 
> faudrait voir si tu ne bloques pas les OUTPUT et/ou forward/masquerade
> 
> A+
> Amaury
> 

Essaye les r�gles en fixant les �tats de connexion:

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -m state --state 
ESTABLISHED,RELATED,NEW -j ACCEPT

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -m state --state 
ESTABLISHED,RELATED,NEW -j ACCEPT

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 110 -m state --state 
ESTABLISHED,RELATED,NEW -j ACCEPT

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -m state --state 
ESTABLISHED,RELATED,NEW -j ACCEPT

Si cela ne fonctionne tjs pas, alors fixe la politique par d�faut en OUTPUT et 
FORWARD � ACCEPT:

$IPTABLES -P FORWARD ACCEPT
$IPTAVLES -P OUTPUT ACCEPT

v\'la

Lionel Gavage

Répondre à