Je souhaite mettre un site a jour par ftp.
Voici mes régles IPTables... apparement ce n'est pas suffisant !
 
iptables -A INPUT -p tcp --sport 21 -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -m state --state ! INVALID -j ACCEPT
 
Je veux n'autoriser que le minumum. D'ou mes state. Mais ils sont peut-etre trop restrictifs ?
 
Si je ne met pas de restriction sur l'etat des packets j'ai donc les régles suivantes :
 
iptables -A INPUT -p tcp --sport 21 -i ppp0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -j ACCEPT
 
... mais cela ne me permet toujours pas l'upload.
 
J'utilise le logiciel lftp et je me connecte sur un site Free

Il faudrait peut etre autoriser les nouvelles connexions ... , nan ?
 
A+

 
Ben ca ne marche pas, car avec mes secondes regles (qui ne tiennent pas compte justement de l'etat des connection) j'ai toujours pas possibilité de me connecter !

normalement il y a un "module" de suivi des connexions pour le FTP
 
regarde comment l activer

 
Tu parle du module ip_contrack_ftp ?
En effet, je ne l'ai pas compilé dans mon noyau. Je vais activé le module et refaire le test!
 
Merci

 
1-) ip_conntrack_ftp c pour permettre le ftp actif même quand on est firewallé
 
 
2-) je comprends pas : c'est le firewall de ta machine ou du serveur sur lequel tu veux uploader ?
 
et pourquoi filtres tu les chaines output ?

+1 c est pas tres explicite

 
Voila bien longtemps que je n'utilise plus IPTables mais il n'y aurait pas une inversion entre sport et dport ? En enree il faut autoriser le port 21 comme port de destination non ?

 
Pour farib et tomate. J'ai un serveur qui fait tout un tas de truc. Mais en s'en fou en fait. La seule chose qui est importante c'est qu'il fait office de firewall à l'aide d'IPTables.
Moi je veux juste pouvoir uploader a partir de ce serveur.  
J'ai un firewall mis en place à l'aide d'IP Table et j'ai donné les régles ci-desous pour permettre l'upload par FTP mais ca marche pas

ok donc toi tu t occupes juste du "client" en gros
 
tu n as donc pas de regle qui autorise tout le trafic sortant

 
Non puisque je veux uploader donc je me connecte sur le port 21 d'une machine distance.  
 
Je filte les OUTPUT puisque c'est celle la en particulier que je veux autoriser. Mon firewall par défaut n'accepte rien. C'est le principe ! Donc il me faut ajouter des regles !

oki donc fo ke tu autorises tout trafic sortant vers les ports 20 ET 21, en autorisant le suivi de connexion (--state ...)

Ca :
 
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
 
ca, devrait suffire ... ( tested and approved )
 
A+

 
Non ca passe pas. Voici ce qui est droppé !
 

 
Faut donc bien du ?

bougre d'ane que je suis, g ai oublier :
 
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
Effectivement ils faut bien qu'ils sortent ...
 
A+

 
C'est un peu violent ton truc non ?
Car tu fais sortir tout ce qui est établie. On peut pas restreindre par un port ?

bah si surement

 
Il bloque encore ca :
 
Jul  8 15:10:52 xxxxxxxxxx [IPT_DROP] IN= OUT=ppp0 MAC=78:21:c0:00:00:00:00:11:00:00:00:00:00:00:00:00:00:00:00:00  SRC=xx.xx.xx.xx DST=213.228.0.66 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=49255 DPT=21 SEQ=2994197698 ACK=0 WINDOW=5840 SYN URGP=0
 
Car c'est une nouvelle connection j'ai donc du rajouté NEW sur la regle en OUTPUT... Mais je voudrais restreindre plus mes regles et ne faire sortir que ce que je veux et pas tous les ports de ma machine... Car si le réseau est infecté ca sort !

 
Merci pour ta réponse je viens de progresser énormement la.
T'as pas une idée un peu plus précise du pb stp ?

 
Du moment que tu bloque les nouvelles connexions, je ne vois pas ou est le probeleme ...
 
A+

ouais j en ai une bonne : man iptables  
 
--dport peut etre ??

moi dans mon firewall j'ai les regles suivante pour ftp pasif et actif et ça marche trés bien, vue sur lea-linux.org :
 
#FTP
iptables -A INPUT -i tun0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i tun0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT                                                                      iptables -A OUTPUT -o tun0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i tun0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

 
Ok, je prends !
Mercu à tous !!!

Je ne comprends pas ce que vient faire le port 20 là dedans...

c est necessaire pour le ftp