RESOLU [IPTables] Permettre l'upload sur ftp

RESOLU [IPTables] Permettre l'upload sur ftp - Codes et scripts - Linux et OS Alternatifs

Marsh Posté le 08-07-2003 à 09:29:46    

Je souhaite mettre un site a jour par ftp.
Voici mes régles IPTables... apparement ce n'est pas suffisant !
 
iptables -A INPUT -p tcp --sport 21 -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -m state --state ! INVALID -j ACCEPT
 
Je veux n'autoriser que le minumum. D'ou mes state. Mais ils sont peut-etre trop restrictifs ?
 
Si je ne met pas de restriction sur l'etat des packets j'ai donc les régles suivantes :
 
iptables -A INPUT -p tcp --sport 21 -i ppp0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -j ACCEPT
 
... mais cela ne me permet toujours pas l'upload.
 
J'utilise le logiciel lftp et je me connecte sur un site Free


Message édité par molton le 29-07-2003 à 14:49:09

---------------
Un nouveau site pour sa debian : http://guide.andesi.org/
Reply

Marsh Posté le 08-07-2003 à 09:29:46   

Reply

Marsh Posté le 08-07-2003 à 10:38:06    

Il faudrait peut etre autoriser les nouvelles connexions ... , nan ?
 
A+

Reply

Marsh Posté le 08-07-2003 à 11:20:19    

Aragorn_1er a écrit :

Il faudrait peut etre autoriser les nouvelles connexions ... , nan ?
 
A+


 
Ben ca ne marche pas, car avec mes secondes regles (qui ne tiennent pas compte justement de l'etat des connection) j'ai toujours pas possibilité de me connecter !


---------------
Un nouveau site pour sa debian : http://guide.andesi.org/
Reply

Marsh Posté le 08-07-2003 à 11:31:14    

normalement il y a un "module" de suivi des connexions pour le FTP
 
regarde comment l activer ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 08-07-2003 à 11:58:51    

tomate77 a écrit :

normalement il y a un "module" de suivi des connexions pour le FTP
 
regarde comment l activer ;)


 
Tu parle du module ip_contrack_ftp ?
En effet, je ne l'ai pas compilé dans mon noyau. Je vais activé le module et refaire le test!
 
Merci :)


---------------
Un nouveau site pour sa debian : http://guide.andesi.org/
Reply

Marsh Posté le 08-07-2003 à 12:26:32    

molton a écrit :

Je souhaite mettre un site a jour par ftp.
Voici mes régles IPTables... apparement ce n'est pas suffisant !
 
iptables -A INPUT -p tcp --sport 21 -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -m state --state ! INVALID -j ACCEPT
 
Je veux n'autoriser que le minumum. D'ou mes state. Mais ils sont peut-etre trop restrictifs ?
 
Si je ne met pas de restriction sur l'etat des packets j'ai donc les régles suivantes :
 
iptables -A INPUT -p tcp --sport 21 -i ppp0 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -j ACCEPT
 
... mais cela ne me permet toujours pas l'upload.
 
J'utilise le logiciel lftp et je me connecte sur un site Free  


 
1-) ip_conntrack_ftp c pour permettre le ftp actif même quand on est firewallé
 
 
2-) je comprends pas : c'est le firewall de ta machine ou du serveur sur lequel tu veux uploader ?
 
et pourquoi filtres tu les chaines output ?

Reply

Marsh Posté le 08-07-2003 à 12:43:31    

farib a écrit :


 
1-) ip_conntrack_ftp c pour permettre le ftp actif même quand on est firewallé
 
 
2-) je comprends pas : c'est le firewall de ta machine ou du serveur sur lequel tu veux uploader ?
 
et pourquoi filtres tu les chaines output ?


+1 c est pas tres explicite :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 08-07-2003 à 13:30:07    

molton a écrit :

Je souhaite mettre un site a jour par ftp.
Voici mes régles IPTables... apparement ce n'est pas suffisant !
 
iptables -A INPUT -p tcp --sport 21 -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -m state --state ! INVALID -j ACCEPT


 
Voila bien longtemps que je n'utilise plus IPTables mais il n'y aurait pas une inversion entre sport et dport ? En enree il faut autoriser le port 21 comme port de destination non ?

Reply

Marsh Posté le 08-07-2003 à 14:06:53    

farib a écrit :


 
1-) ip_conntrack_ftp c pour permettre le ftp actif même quand on est firewallé
 
 
2-) je comprends pas : c'est le firewall de ta machine ou du serveur sur lequel tu veux uploader ?
 
et pourquoi filtres tu les chaines output ?


 
Pour farib et tomate. J'ai un serveur qui fait tout un tas de truc. Mais en s'en fou en fait. La seule chose qui est importante c'est qu'il fait office de firewall à l'aide d'IPTables.
Moi je veux juste pouvoir uploader a partir de ce serveur.  
J'ai un firewall mis en place à l'aide d'IP Table et j'ai donné les régles ci-desous pour permettre l'upload par FTP mais ca marche pas :(


---------------
Un nouveau site pour sa debian : http://guide.andesi.org/
Reply

Marsh Posté le 08-07-2003 à 14:08:44    

molton a écrit :


 
Pour farib et tomate. J'ai un serveur qui fait tout un tas de truc. Mais en s'en fou en fait. La seule chose qui est importante c'est qu'il fait office de firewall à l'aide d'IPTables.
Moi je veux juste pouvoir uploader a partir de ce serveur.  
J'ai un firewall mis en place à l'aide d'IP Table et j'ai donné les régles ci-desous pour permettre l'upload par FTP mais ca marche pas :(


ok donc toi tu t occupes juste du "client" en gros ;)
 
tu n as donc pas de regle qui autorise tout le trafic sortant ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 08-07-2003 à 14:08:44   

Reply

Marsh Posté le 08-07-2003 à 14:09:35    

axey a écrit :


 
Voila bien longtemps que je n'utilise plus IPTables mais il n'y aurait pas une inversion entre sport et dport ? En enree il faut autoriser le port 21 comme port de destination non ?


 
Non puisque je veux uploader donc je me connecte sur le port 21 d'une machine distance.  
 
Je filte les OUTPUT puisque c'est celle la en particulier que je veux autoriser. Mon firewall par défaut n'accepte rien. C'est le principe ! Donc il me faut ajouter des regles !


---------------
Un nouveau site pour sa debian : http://guide.andesi.org/
Reply

Marsh Posté le 08-07-2003 à 14:10:06    

oki donc fo ke tu autorises tout trafic sortant vers les ports 20 ET 21, en autorisant le suivi de connexion (--state ...) ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 08-07-2003 à 14:23:57    

Ca :
 
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
 
ca, devrait suffire ... ( tested and approved )
 
A+


Message édité par Aragorn_1er le 08-07-2003 à 14:24:20
Reply

Marsh Posté le 08-07-2003 à 14:53:10    

Aragorn_1er a écrit :

Ca :
 
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
 
ca, devrait suffire ... ( tested and approved )
 
A+


 
Non ca passe pas. Voici ce qui est droppé !
 

Code :
  1. Jul  8 14:51:02 xxxxxx-xxxx [IPT_DROP] IN= OUT=ppp0 MAC= SRC=xx.xx.xx.xx DST=213.228.0.170 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=49254 DPT=21 SEQ=1738174039 ACK=0 WINDOW=5840 SYN URGP=0


 
Faut donc bien du ?

Code :
  1. iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -j ACCEPT


Message édité par molton le 08-07-2003 à 14:53:39
Reply

Marsh Posté le 08-07-2003 à 14:57:43    

bougre d'ane que je suis, g ai oublier :
 
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
Effectivement ils faut bien qu'ils sortent ...
 
A+

Reply

Marsh Posté le 08-07-2003 à 15:05:55    

Aragorn_1er a écrit :

bougre d'ane que je suis, g ai oublier :
 
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
Effectivement ils faut bien qu'ils sortent ...
 
A+


 
C'est un peu violent ton truc non ?
Car tu fais sortir tout ce qui est établie. On peut pas restreindre par un port ?


---------------
Un nouveau site pour sa debian : http://guide.andesi.org/
Reply

Marsh Posté le 08-07-2003 à 15:06:30    

molton a écrit :


 
C'est un peu violent ton truc non ?
Car tu fais sortir tout ce qui est établie. On peut pas restreindre par un port ?


bah si surement ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 08-07-2003 à 15:13:20    

molton a écrit :


 
C'est un peu violent ton truc non ?
Car tu fais sortir tout ce qui est établie. On peut pas restreindre par un port ?


 
Il bloque encore ca :
 
Jul  8 15:10:52 xxxxxxxxxx [IPT_DROP] IN= OUT=ppp0 MAC=78:21:c0:00:00:00:00:11:00:00:00:00:00:00:00:00:00:00:00:00  SRC=xx.xx.xx.xx DST=213.228.0.66 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=49255 DPT=21 SEQ=2994197698 ACK=0 WINDOW=5840 SYN URGP=0
 
Car c'est une nouvelle connection j'ai donc du rajouté NEW sur la regle en OUTPUT... Mais je voudrais restreindre plus mes regles et ne faire sortir que ce que je veux et pas tous les ports de ma machine... Car si le réseau est infecté ca sort !


---------------
Un nouveau site pour sa debian : http://guide.andesi.org/
Reply

Marsh Posté le 08-07-2003 à 15:14:37    

tomate77 a écrit :


bah si surement ;)


 
Merci pour ta réponse je viens de progresser énormement la.
T'as pas une idée un peu plus précise du pb stp ?


---------------
Un nouveau site pour sa debian : http://guide.andesi.org/
Reply

Marsh Posté le 08-07-2003 à 15:15:30    

molton a écrit :


 
C'est un peu violent ton truc non ?
Car tu fais sortir tout ce qui est établie. On peut pas restreindre par un port ?


 
Du moment que tu bloque les nouvelles connexions, je ne vois pas ou est le probeleme ...
 
A+

Reply

Marsh Posté le 08-07-2003 à 15:15:44    

molton a écrit :


 
Merci pour ta réponse je viens de progresser énormement la.
T'as pas une idée un peu plus précise du pb stp ?


ouais j en ai une bonne : man iptables :sarcastic:  
 
--dport peut etre ??


---------------
:: Light is Right ::
Reply

Marsh Posté le 08-07-2003 à 15:22:45    

moi dans mon firewall j'ai les regles suivante pour ftp pasif et actif et ça marche trés bien, vue sur lea-linux.org :
 
#FTP
iptables -A INPUT -i tun0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i tun0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT                                                                      iptables -A OUTPUT -o tun0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i tun0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

Reply

Marsh Posté le 08-07-2003 à 15:42:47    

steve65 a écrit :

moi dans mon firewall j'ai les regles suivante pour ftp pasif et actif et ça marche trés bien, vue sur lea-linux.org :
 
#FTP
iptables -A INPUT -i tun0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i tun0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT                                                                      iptables -A OUTPUT -o tun0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
 
iptables -A INPUT -i tun0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
 


 
Ok, je prends !
Mercu à tous !!!


---------------
Un nouveau site pour sa debian : http://guide.andesi.org/
Reply

Marsh Posté le 08-07-2003 à 18:13:26    

Je ne comprends pas ce que vient faire le port 20 là dedans...

Reply

Marsh Posté le 08-07-2003 à 19:04:46    

axey a écrit :

Je ne comprends pas ce que vient faire le port 20 là dedans...


c est necessaire pour le ftp ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed