Bonjour,  
rp-pppoe m'a configure ipchains de cette maniere:
hain input (policy ACCEPT):
target     prot opt     source                destination           ports
DENY       udp  ------  anywhere             anywhere              any ->   0:1023
DENY       tcp  ------  anywhere             anywhere              any ->   0:1023
DENY       tcp  -y----  anywhere             anywhere              any ->   any
DENY       icmp ------  anywhere             anywhere              echo-request
Chain forward (policy DENY):
target     prot opt     source                destination           ports
MASQ       all  ------  anywhere             anywhere              n/a
Chain output (policy ACCEPT):
 
donc tt fonctionne niquel, que ce soit le routage ou les differentes connection et en plus selon security space, etc...ça à l'air bien securise. Donc,now je veux juste ouvrir les ports 20&21 pour me faire un chti ftp , comment je fais car le man ipchains en anglais est pas explicite et j'ai pas envie de niquer ma config .
 
 

voici le fichier qu'utilise rp-pppoe:
#!/bin/sh
#
# firewall-masq  This script sets up firewall rules for a machine
#                       acting as a masquerading gateway
#
# Copyright (C) 2000 Roaring Penguin Software Inc.  This software may
# be distributed under the terms of the GNU General Public License, version
# 2 or any later version.
 
# Interface to Internet
EXTIF=ppp+
 
ANY=0.0.0.0/0
 
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward DENY
 
ipchains -F forward
ipchains -F input
ipchains -F output
 
# Deny TCP and UDP packets to privileged ports
ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p udp -j DENY
ipchains -A input -l -i $EXTIF -d $ANY 0:1023 -p tcp -j DENY
 
# Deny TCP connection attempts
ipchains -A input -l -i $EXTIF -p tcp -y -j DENY
 
# Deny ICMP echo-requests
ipchains -A input -l -i $EXTIF -s $ANY echo-request -p icmp -j DENY
 
# Do masquerading
ipchains -A forward -j MASQ
echo 1 > /proc/sys/net/ipv4/ip_forward

tu fais ça :
 
ipchains -I input 1 -s 0/0 -d 0/0 20 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 21 -p tcp -j ACCEPT -b
 
il va donc te créer 4 entrée comme ça  
 
target            prot opt     source                destination           ports
ACCEPT     tcp ------   anywhere         anywhere          any -> ftp
ACCEPT     tcp ------   anywhere         anywhere          ftp -> any
ACCEPT     tcp ------   anywhere         anywhere          any -> ftp data
ACCEPT     tcp ------   anywhere         anywhere          ftp data -> any
 
tes ports 20 et 21 seront cachés jusqu'à ce que tu ais un serveur ftp sur ce port
 
je te conseille d'ouvrir aussi une échelle de ports entre 3000 et 5000 si tu veux pouvoir télécharger sur des ftp, sinon tu ne pourras pas utiliser le mode passif et tu risques de rester bloquer sur certains FTP car ils ne trouveront pas de port pour le transfert de fichier, tu peux donc ajouter cette police :
 
ipchains -I input 1 -s 0/0 -d 0/0 3000:5000 -p tcp -j ACCEPT -b
 
attention : tous ce que tu rentres comme polices est temporaire ! donc au prochain reboot, tes polices ne seront pas chargées, il faut donc les mettre dans un fichier de démarrage, tu peux par exemple mettre ces polices dans ton rc.local, ou dans le fichier où tu as déjà mis la commande pour activer le forwarding
 
edit : pour éviter de confondre : "-I" est "-i majuscule"
tu peux rentrer ça dans le fichier que tu as mis ci-dessus
 
 

[jfdsdjhfuetppo]--Message édité par BMOTheKiller le 29-04-2002 à 15:44:47--[/jfdsdjhfuetppo]

BMOTheKiller a écrit a écrit : tu fais ça :   ipchains -I input 1 -s 0/0 -d 0/0 20 -p tcp -j ACCEPT -b ipchains -I input 1 -s 0/0 -d 0/0 21 -p tcp -j ACCEPT -b   il va donc te créer 4 entrée comme ça     target            prot opt     source                destination           ports ACCEPT     tcp ------   anywhere         anywhere          any -> ftp ACCEPT     tcp ------   anywhere         anywhere          ftp -> any ACCEPT     tcp ------   anywhere         anywhere          any -> ftp data ACCEPT     tcp ------   anywhere         anywhere          ftp data -> any   tes ports 20 et 21 seront cachés jusqu'à ce que tu ais un serveur ftp sur ce port   je te conseille d'ouvrir aussi une échelle de ports entre 3000 et 5000 si tu veux pouvoir télécharger sur des ftp, sinon tu ne pourras pas utiliser le mode passif et tu risques de rester bloquer sur certains FTP car ils ne trouveront pas de port pour le transfert de fichier, tu peux donc ajouter cette police :   ipchains -I input 1 -s 0/0 -d 0/0 3000:5000 -p tcp -j ACCEPT -b   attention : tous ce que tu rentres comme polices est temporaire ! donc au prochain reboot, tes polices ne seront pas chargées, il faut donc les mettre dans un fichier de démarrage, tu peux par exemple mettre ces polices dans ton rc.local, ou dans le fichier où tu as déjà mis la commande pour activer le forwarding   edit : pour éviter de confondre : "-I" est "-i majuscule" tu peux rentrer ça dans le fichier que tu as mis ci-dessus

ok vais essayer ça mais bon sinon j'ai dejà telecharger sur pleins de ftp sans pb (en plus c'etait à partir du poste client w2k) , donc je vais rien modifier à part ça :
ipchains -I input 1 -s 0/0 -d 0/0 20 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 21 -p tcp -j ACCEPT -b
je pense.....

 
merci , vais tester ça

en fait j'ai un pb, il arrive pas à me lister les 2 repertoires....
que ça soit en actif ou passif....

sur ton ftp ou sur un autre ftp ??
 
quand on arrive pas à lister un ftp par la commande LIST, c'est qu'aucun port de communication n'a été trouvé, donc il faut ouvrir comme je t'ai dit précédemment une échelle de ports souvent utilisés pour ça
 
 

BMOTheKiller a écrit a écrit : sur ton ftp ou sur un autre ftp ??   quand on arrive pas à lister un ftp par la commande LIST, c'est qu'aucun port de communication n'a été trouvé, donc il faut ouvrir comme je t'ai dit précédemment une échelle de ports souvent utilisés pour ça

sur mon ftp:
hnc.serveftp.com  
login: kill
pass: yourself
 
En local pure-ftpd fonctionne nickel, mais là impossible de rappatrier la liste des repertoires en actif, et en passif impossible de voir ne serait que les fichiers à la racine , en fait impossible de se connecter pratiquement (ça merde lorsque le client ftp fait LIST machin).
 
 
 
EDIT: non en fait , je crois que ça venait d'autre part... 2 sec je remet en place tt ça

[jfdsdjhfuetppo]--Message édité par Disconect le 29-04-2002 à 16:21:08--[/jfdsdjhfuetppo]

Ouais ça marche !!!  

En fait ça marche en mode actif, mais en mode passif c affreux, impossible de lister rep.....essaye tu vas voir...

c bon, j'ai taper la police d'ipchains concernant les ports 3000:5000 et ça marche nikel aussi en passif now  
 
Merci