Re: iptables et ftp

Thu, 18 Dec 2003 09:33:35 -0600 

PII 233 wrote:


Bonjour,

existe-t-il un howto pour configurer iptables correctement
pour g�rer une connexion ftp cliente ?

ftp=port 21


Le serveur ftp distant essaye de se connecter sur un port
au hasard et est toujours bloqu�.

serveur ftp qui essaye de se connecter = client ftp = port 21


Il y a visiblement des modules li�s � ce probl�me (ip_conntrack_ftp),
mais je ne vois aucune mise en oeuvre pratique, aucun exemple
qui puisse permettre de savoir si j'ai r�ellement besoin de ce module,
et comment configurer iptables proprement en cons�quence.

Les paquets bloqu�s ont cette forme :
Dec 18 14:13:35 host kernel: IN=eth0 OUT= [EMAIL PROTECTED] SRC=IP_distante 
DST=192.168.N.M LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=21 
DPT=49198 WINDOW=5792 RES=0x00 ACK SYN URGP=0
ici, sur ton interface eth0, le client essaye de ... je ne sais pas parceque IP_distante represente quoi? elle ne peut etre que de la forme 192.168.N.tout sauf M Parceque s'il s'agit d'une IP public, comment arrive t'elle sur une iP privee? En tout cas le source port correspond a du ftp. 


En fait, le probl�me n'est pas forc�ment li� � ftp, d'ailleurs, il est
le m�me lorsqu'un serveur SMTP est sollicit� par le serveur local
(tr�s rarement utilis�) :

Meme chose: SMTP = port 25


les paquets dropp�s :

l�, les flags sont diff�rents de ceux du paquet pr�c�dent (pas de ACK SYN, mais 
un RST)
Dec 18 14:16:53 host kernel: IN=eth0 OUT= [EMAIL PROTECTED] SRC=IP_distante 
DST=192.168.N.M LEN=40 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=TCP SPT=25 
DPT=49195 WINDOW=0 RES=0x00 RST URGP=0

Ici, c'est comme pour ftp :
Dec 18 14:28:23 host kernel: IN=eth0 OUT= [EMAIL PROTECTED] SRC=IP_distante 
DST=192.168.N.M LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 
DPT=49207 WINDOW=5792 RES=0x00 ACK SYN URGP=0

Toute aide est appr�ci�e pour que je comprenne comment �a marche
r�ellement et que je puisse ouvrir les acc�s dans ces cas pr�cis.
Merci !
Tout depend de ton adresse source IP (classe) masquee ci-dessus. Un truc du style 

$IPTABLES -A input -I $EXTERNAL_DEVICE -s 0.0.0.0/0 --dport 21 -j accept
accepte les connections sur le port 21 de ton interface internet, quelqu'en soit la source. 

--
:  ______ ______ ______ ______ ______ __  [EMAIL PROTECTED]
: /_____// __  // __  //_____// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax....: +48 32 285 5276
: /_/  /_____//_____/  /_/  /_/ /_//_/ mobile..: +48 602 284 546

Répondre à