regis wrote: > > > Que me conseillez vous pour faire un serveur ftp qui va avoir une dizaines de > personnes maximum en simultan� a savoir qu'il seront autentifi� et pas en > anonymes. (Les perssones ce conectant utiliseront aussi bien Windaube, MacOS > et GNU/Linux) ?
Ici, J'ai ces r�gles : # Si tu as deux serveurs FTP "virtuel", sur les ports 21, FTP_PORT_1 modprobe ip_conntrack_ftp ports=21,$FTP_PORT_1 # Autoriser les connexions d�j� �tablie, et le connexion relative, comme par exemple le canal de donn�e du protocole FTP. $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Autoriser le FTP entrants vers le serveur FTP port 21 $IPTABLES -A FORWARD -i $EXTERNAL_INTERFACE -o $INTERNAL_INTERFACE -p tcp --sport $UNPRIVPORTS -d $FTP_SERVER --dport 21 -m state --state NEW -j ACCEPT # Autoriser le FTP entrants vers le serveur FTP port FTP_PORT_1 $IPTABLES -A FORWARD -i $EXTERNAL_INTERFACE -o $INTERNAL_INTERFACE -p tcp --sport $UNPRIVPORTS -d $FTP_SERVER --dport $FTP_PORT_1 -m state --state NEW -j ACCEPT Et c'est tout, le module conntrack_ftp (de suivie de connexion) est capable de reconnaitre le mode normale ou le mode passif. Petit rappel sur Netfilter : L'etat NEW dectecte un nouvelle connection, niveau 4 OSI. La connection passe ensuite dans l'etat ESTABLISHED dans la table de suivie de connection. L'etat RELATED permet de vehiculer les paquets ICMP de contr�le de la connection, ou dans le cas du FTP (avec le module conntrack_ftp) de vehiculer le canal de donn�es. L'etat NEW ne s'occupe pas des options des paquets TCP, Tu peux donc ajouter ces r�gles : $IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP $IPTABLES -A FORWARD -p tcp --syn -m state --state ESTABLISHED -j DROP Si le firewall et le serveur FTP sont sur la meme machine, remplace FORWARD par INPUT, et vire "-o $INTERNAL_INTERFACE" -- ============================================== | FREDERIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[EMAIL PROTECTED] | ===========================Debian=GNU/Linux=== -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
