RESOLU [IPTables] Permettre l'upload sur ftp - Codes et scripts - Linux et OS Alternatifs
Marsh Posté le 08-07-2003 à 10:38:06
Il faudrait peut etre autoriser les nouvelles connexions ... , nan ?
A+
Marsh Posté le 08-07-2003 à 11:20:19
Aragorn_1er a écrit : Il faudrait peut etre autoriser les nouvelles connexions ... , nan ? |
Ben ca ne marche pas, car avec mes secondes regles (qui ne tiennent pas compte justement de l'etat des connection) j'ai toujours pas possibilité de me connecter !
Marsh Posté le 08-07-2003 à 11:31:14
normalement il y a un "module" de suivi des connexions pour le FTP
regarde comment l activer
Marsh Posté le 08-07-2003 à 11:58:51
tomate77 a écrit : normalement il y a un "module" de suivi des connexions pour le FTP |
Tu parle du module ip_contrack_ftp ?
En effet, je ne l'ai pas compilé dans mon noyau. Je vais activé le module et refaire le test!
Merci
Marsh Posté le 08-07-2003 à 12:26:32
molton a écrit : Je souhaite mettre un site a jour par ftp. |
1-) ip_conntrack_ftp c pour permettre le ftp actif même quand on est firewallé
2-) je comprends pas : c'est le firewall de ta machine ou du serveur sur lequel tu veux uploader ?
et pourquoi filtres tu les chaines output ?
Marsh Posté le 08-07-2003 à 12:43:31
farib a écrit : |
+1 c est pas tres explicite
Marsh Posté le 08-07-2003 à 13:30:07
molton a écrit : Je souhaite mettre un site a jour par ftp. |
Voila bien longtemps que je n'utilise plus IPTables mais il n'y aurait pas une inversion entre sport et dport ? En enree il faut autoriser le port 21 comme port de destination non ?
Marsh Posté le 08-07-2003 à 14:06:53
farib a écrit : |
Pour farib et tomate. J'ai un serveur qui fait tout un tas de truc. Mais en s'en fou en fait. La seule chose qui est importante c'est qu'il fait office de firewall à l'aide d'IPTables.
Moi je veux juste pouvoir uploader a partir de ce serveur.
J'ai un firewall mis en place à l'aide d'IP Table et j'ai donné les régles ci-desous pour permettre l'upload par FTP mais ca marche pas
Marsh Posté le 08-07-2003 à 14:08:44
molton a écrit : |
ok donc toi tu t occupes juste du "client" en gros
tu n as donc pas de regle qui autorise tout le trafic sortant
Marsh Posté le 08-07-2003 à 14:09:35
axey a écrit : |
Non puisque je veux uploader donc je me connecte sur le port 21 d'une machine distance.
Je filte les OUTPUT puisque c'est celle la en particulier que je veux autoriser. Mon firewall par défaut n'accepte rien. C'est le principe ! Donc il me faut ajouter des regles !
Marsh Posté le 08-07-2003 à 14:10:06
oki donc fo ke tu autorises tout trafic sortant vers les ports 20 ET 21, en autorisant le suivi de connexion (--state ...)
Marsh Posté le 08-07-2003 à 14:23:57
Ca :
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
ca, devrait suffire ... ( tested and approved )
A+
Marsh Posté le 08-07-2003 à 14:53:10
Aragorn_1er a écrit : Ca : |
Non ca passe pas. Voici ce qui est droppé !
Code :
|
Faut donc bien du ?
Code :
|
Marsh Posté le 08-07-2003 à 14:57:43
bougre d'ane que je suis, g ai oublier :
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Effectivement ils faut bien qu'ils sortent ...
A+
Marsh Posté le 08-07-2003 à 15:05:55
Aragorn_1er a écrit : bougre d'ane que je suis, g ai oublier : |
C'est un peu violent ton truc non ?
Car tu fais sortir tout ce qui est établie. On peut pas restreindre par un port ?
Marsh Posté le 08-07-2003 à 15:06:30
molton a écrit : |
bah si surement
Marsh Posté le 08-07-2003 à 15:13:20
molton a écrit : |
Il bloque encore ca :
Jul 8 15:10:52 xxxxxxxxxx [IPT_DROP] IN= OUT=ppp0 MAC=78:21:c0:00:00:00:00:11:00:00:00:00:00:00:00:00:00:00:00:00 SRC=xx.xx.xx.xx DST=213.228.0.66 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=49255 DPT=21 SEQ=2994197698 ACK=0 WINDOW=5840 SYN URGP=0
Car c'est une nouvelle connection j'ai donc du rajouté NEW sur la regle en OUTPUT... Mais je voudrais restreindre plus mes regles et ne faire sortir que ce que je veux et pas tous les ports de ma machine... Car si le réseau est infecté ca sort !
Marsh Posté le 08-07-2003 à 15:14:37
tomate77 a écrit : |
Merci pour ta réponse je viens de progresser énormement la.
T'as pas une idée un peu plus précise du pb stp ?
Marsh Posté le 08-07-2003 à 15:15:30
molton a écrit : |
Du moment que tu bloque les nouvelles connexions, je ne vois pas ou est le probeleme ...
A+
Marsh Posté le 08-07-2003 à 15:15:44
molton a écrit : |
ouais j en ai une bonne : man iptables
--dport peut etre ??
Marsh Posté le 08-07-2003 à 15:22:45
moi dans mon firewall j'ai les regles suivante pour ftp pasif et actif et ça marche trés bien, vue sur lea-linux.org :
#FTP
iptables -A INPUT -i tun0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i tun0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o tun0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i tun0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
Marsh Posté le 08-07-2003 à 15:42:47
steve65 a écrit : moi dans mon firewall j'ai les regles suivante pour ftp pasif et actif et ça marche trés bien, vue sur lea-linux.org : |
Ok, je prends !
Mercu à tous !!!
Marsh Posté le 08-07-2003 à 18:13:26
Je ne comprends pas ce que vient faire le port 20 là dedans...
Marsh Posté le 08-07-2003 à 19:04:46
axey a écrit : Je ne comprends pas ce que vient faire le port 20 là dedans... |
c est necessaire pour le ftp
Marsh Posté le 08-07-2003 à 09:29:46
Je souhaite mettre un site a jour par ftp.
Voici mes régles IPTables... apparement ce n'est pas suffisant !
iptables -A INPUT -p tcp --sport 21 -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -m state --state ! INVALID -j ACCEPT
Je veux n'autoriser que le minumum. D'ou mes state. Mais ils sont peut-etre trop restrictifs ?
Si je ne met pas de restriction sur l'etat des packets j'ai donc les régles suivantes :
iptables -A INPUT -p tcp --sport 21 -i ppp0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -j ACCEPT
... mais cela ne me permet toujours pas l'upload.
J'utilise le logiciel lftp et je me connecte sur un site Free
Message édité par molton le 29-07-2003 à 14:49:09
---------------
Un nouveau site pour sa debian : http://guide.andesi.org/