configuration d'iptables - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 24-06-2005 à 17:32:39
passe en mode passif
Marsh Posté le 24-06-2005 à 17:44:32
y'a moyen de configurer mon client ftp pour qu'il soit en passive par défaut?
Marsh Posté le 24-06-2005 à 17:46:56
surement, c'est quoi comme client ?
EDIT : tu voudrais pas utiliser sysctl pour gérer les paramètres de /proc, c'est "plus propre" je trouve
Marsh Posté le 24-06-2005 à 18:36:55
c'est celui par défaut avec la LFS
sysctl? connait pas, jvais regarder ca sur google
Marsh Posté le 30-06-2005 à 16:45:01
Salut!
En fait le pb vient de ton ta règle
iptables -A OUTPUT -j ACCEPT
Avec ça tu ouvres tout, certes mais du coup conntrack n'enregistre pas l'ouverture de connexion du serveur FTP sur le port 22 vers ton client. Donc quand la réponse revient au serveur le paquet ne matche pas le "RELATED" et le paquet est jeté.
Place
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
avant (voire à la place, c'est mieux)
iptables -A OUTPUT -j ACCEPT
Et ça devrait marcher...
NON en fait je sais pas où j'avais la tête, J'avais dans l'esprit que c'était la config du serveur que tu mettais là... En plus ça marche, YA rien à changer dans cette config! J'ai voulu faire une BA et bam! Je me suis planté, désolé!
Marsh Posté le 01-07-2005 à 09:37:41
Donc c'est bien le serveur FTP sur lequel tu te connectes qui n'accepte pas le mode ACTIF.
En fait c'est le pare-feux du serveur qui n'ouvre pas de connexion 'RELATED'.
Par contre si le pare-feux du serveur FTP est configuré pour le mode PASSIF, il te suffit de passer ton client FTP en passif:
colinux:~# ftp uml1
Connected to uml1.
220 uml1 FTP server (Version 6.4/OpenBSD/Linux-ftpd-0.17) ready.
Name (uml1:root):
331 Password required for root.
Password:
230- Linux uml1 2.6.11.11 #1 Wed Jun 8 05:45:22 EDT 2005 i686 unknown
230 User root logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pas
Passive mode on.
ftp> ls
227 Entering Passive Mode (192,168,10,1,8,0)
150 Opening ASCII mode data connection for '/bin/ls'.
...
...
...
ftp>
Mais ça, tu sais déjà... Pour le mode passif par défaut, il me semble que tu peux créer un fichier .netrc pour créer une macro init exécutée au login... Dans ce cas, il suffirait de placer passive dans cette macro pour être dans ce mode à chaque login sur un serveur FTP. Mais à vérifier car je peux toujours raconter des c***ries
Marsh Posté le 24-06-2005 à 17:30:13
j'ai utilisé le script de base de LFS pour faire mon rc.iptables
j'y ai ajouté l'ouverture du ssh et du port 80/443
par contre, quand je fais un ftp sur une machine, ca se connecte. Je lance une commande (comme ls) et la ca coince
Pourtant ca devrait etre ok puisque la connexion est établie par ma machine nunux
une idée?
#!/bin/sh
# Begin $rc_base/rc.iptables
# Enable broadcast echo Protection
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Disable Source Routed Packets
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Enable TCP SYN Cookie Protection
#echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Disable ICMP Redirect Acceptance
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Don.t send Redirect Messages
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
# Drop Spoofed Packets coming in on an interface, where responses
# would result in the reply going out a different interface.
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Log packets with impossible addresses.
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# be verbose on dynamic ip-addresses (not needed in case of static IP)
echo 2 > /proc/sys/net/ipv4/ip_dynaddr
# disable Explicit Congestion Notification
# too many routers are still ignorant
echo 0 > /proc/sys/net/ipv4/tcp_ecn
# Set a known state
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# These lines are here in case rules are already in place and the
# script is ever rerun on the fly. We want to remove all rules and
# pre-exisiting user defined chains before we implement new rules.
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
# Allow local-only connections
iptables -A INPUT -i lo -j ACCEPT
# Free output on any interface to any ip for any service
# (equal to -P ACCEPT)
iptables -A OUTPUT -j ACCEPT
# Permit answers on already established connections
# and permit new connections related to established ones
# (e.g. port mode ftp)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Apache
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Log everything else. What's Windows' latest exploitable vulnerability?
iptables -A INPUT -j LOG --log-prefix "FIREWALL:INPUT "
# End $rc_base/rc.iptables