Re: Iptable + ftp + ssh

Wed, 25 Jul 2001 11:38:56 -0500 

Bonjour � tous,
Salut,

Ce truc est tr�s interressant, mais je crois qu'il ne va pas fonctioner,
pour le ftp, m�me si vouz ajoutez une r�gle pour la port 20. Le probl�me
du ftp est qu'il emploi la port 20 pour obtenir les requisitions et aussi
le login, mais pour faire la transf. il utilise la port 21. Donc le
serveur fait SYN avec -sport 21 dans votre ordinateur, et ce SYN ne sera
pas accept�. La mieux sortie est avoir un "stateful filter", mais n'est-ce
pas le cas de IPTABLES. malheuresement.
L'alternative moins interressante est l'ftp passive, quand le serveur vouz
envoie la port de transf. des donn�s. La plus interressante est l'scp, qui
travaille comme le rcp, mais tunell�e pour l'ssl dans la porte ssh/TCP22.

Pardon pour mon fran�ais tr�s pauvre.
� bient�t,
Eduardo.



-- 
Eduardo Damato
Analista de Redes - GRC
Assessoria de Inform�tica - UNESP

email: [EMAIL PROTECTED]
fone: (11) 252-0577

On Wed, 25 Jul 2001, Igor Genibel wrote:

> On Tue, Jul 24, 2001 at 03:24:28AM +0200, R�gis Gaidot wrote:
> > Bonjour � tous,
> Salut,
>
> essaye un truc du genre:
>         echo "Setting up policy"
>         iptables -P INPUT DROP
>         iptables -P OUTPUT DROP
>         iptables -P FORWARD DROP
>         echo "flush everything"
>         iptables -F INPUT
>         iptables -F OUTPUT
>         iptables -F FORWARD
>         iptables -F block
>
>         echo
>         echo "All interfaces:"
>         echo "  Accept anything on loopback"
>         iptables -A INPUT -i lo -j ACCEPT
>         iptables -A OUTPUT -o lo -j ACCEPT
>
>         echo "  Accept all outgoing connections"
>         iptables -A OUTPUT -j ACCEPT
>
>         echo "  Icmp rules"
>         iptables -A INPUT -p icmp -j ACCEPT
>
>         echo "  Accept some connections"
>         iptables -A INPUT -i eth0 -p tcp ! --syn -j ACCEPT
>         iptables -N block
>         iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
>         iptables -A block -m state --state NEW -i ! eth0 -j ACCEPT
>         iptables -A block -j DROP
>         echo "    Accept all dns responses"
>         iptables -A INPUT -i eth0 -p tcp --sport 53 -j ACCEPT
>         iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
>         echo "    Accept incoming and outgoing ssh"
>         iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
>         echo "    Accept smtp transactions"
>         iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
>         echo "    Accept igmp transactions"
>         iptables -A INPUT -i eth0 -p igmp -j ACCEPT
>         echo "    Block and log all others"
>         iptables -A INPUT -j block
>         iptables -A INPUT -j LOG
>
> Voil�.
>
>

Répondre à