Bonjour
 
J'essaye de configurer mes iptables pour ne laisser passer que le stricte nécessaire, mais avec un serveur FTP ce n'est pas évident!
J'utilise pureFtpd que j'ai configuré pour utiliser les ports 50000:50100.
Voici la configuration que je suis sensé faire d'après ce que j'ai pu lire sur le net :

Problème : si je n'ajoute pas l'état NEW aux ports passifs je n'arrive pas à me connecter au serveur dans ce mode (impossible de récupérer la liste des répertoires).
A votre avis d'où vient le problème, c'est plutôt le serveur pureftpd ou je suis vraiment obligé d'activer les nouvelles connexions sur ces ports?
 
D'autre part que me conseillez-vous de faire pour tester la sécurité de mon serveur depuis l'extérieur?
Merci

parce que tu n'as pas chargé les modules adéquats concernant le suivit de connection pour le FTP.
Personnellement, ce que je fais, c'est :
charger les modules pour le suivit de connections (FTP)
autoriser les ESTABLISHED et RELATED en INPUT pour tout
autoriser les NEW sur le port 21 en INPUT
autoriser les ESTABLISHED en sortit

et ca me suffit, ca ouvre les ports a la volée

J'ai pourtant chargé le module conntrack pour le suivi de connexion et sans le NEW il m'est impossible d'accéder aux ports FTP passif

Bonjour!
J'ai exactement le meme probleme que toi !
J'ai choisi comme plage de ports 60000 - 60100
J'utilise vsftp
 
et voici la configuration du firewall que j'utilise

J'ai regardé avec Tcpdump pour essayer de comprendre un peu ce qu'il se passe et j'ai comparé a ce qu'il se passe lorsque je me connecte a mon ftp via le reseau local (tout est autorise niveau firewalling entre le reseau local et le serveur ftp) : on voit bien que le client commence a "communiquer" via le port 21, puis ensuite, il passe sur un port de la plage des port passif sans probleme.
J'ai donc demander a des college d'essayer de se connecter a mon serveur via internet et j'ai remarqué qu'ils communiquent bien via le port 21, mais apparement jamais ils passent sur un port de la plage des port passifs.
 
Quelqu'un pourrait donc nous expliquer ce qu'il se passe et où est l'erreur que nous avons commis ?
 
Merci !

Personne n'a la réponse ? snif
En plus je suis quasi sûr que c'est un truc tout bête mais je n'arrive pas a voir quoi.
J'ai cherché sur plein de forum, partout, tout le monde semble avoir configuré de la meme facon que moi, sauf que chez moi ca veut pas marcher!
 
Je précise par avance au cas ou quelqu'un le supposerai : le firewall du modem qui est connecté au pc laisse bien passer les connections sur les ports necessaires. (j'ai meme fait un test en desactivant totalement le firewall du modem pour etre sûr que ca ne vient pas de là), et tout les ports sur le modem sont redirigé sur le pc.
J'ai déja un serveur web et un serveur svn qui fonctionne correctement il n'y a que ce ftp passif qui veut pas fonctionner !
 
J'espere que quelqu'un pourra me répondre

Par définition, si tu empeche une connection NEW de se faire, elle se fera jamais

ouais faut du conntrack pour le FTP.
 
http://www.kalamazoolinux.org/pres [...] track.html
description sympa en fin de page.

puis j'ai rien compris, c'est quoi le réseau, c'est serveur ou client (parce que je crois pas que le conntrack soit très utile pour le serveur...), etc..

si, ca évite d'ouvrir des ports dans tous les sens si le firewall est situé sur le serveur (chose pas vraiment terrible d'ailleurs).

Hum, j'ai pas tout a fait compris, je ne vois pas où j'empeche une connexion NEW de se faire, puisque j'accepte bien les NEW sur le port 21 (qui est la 1ere connexion a s'etablir, les autres sont censés etre RELATED) donc a ce niveau la je n'ai pas l'impression d'avoir empeché la connexion NEW de se faire, a moins que je me soit trompé ailleur, a ce moment la je veux bien que tu m'expliques
 
Pour le reste, voici le resultat d'un lsmod :  

Vous pouvez donc voir que j'ai bien le module ip_conntrack_ftp ainsi que ip_conntrack, de ce fait de ce coté là il ne devrait pas y avoir de probleme.
 
Voici le resultat d'un iptables -nL

(je n'ai laissé que les lignes relatives au ftp)
Si vous voyez donc ce qui ne va pas dans ma configuration, je vous écoute !
 
Taz, j'ai bien regardé ton lien, et j'ai fait plusieurs test d'apres ce que j'ai lu, mais aucun concluant, de plus j'ai l'impression que l'auteur s'est trompé, en effet il ecrit des trucs du style :  

alors que moi j'aurai ecrit --dport là où lui il a mit --sport et inversement (dailleur, j'ai remarqué que ailleur ils font pareil que moi, donc je pense que c'est l'auteur de la page qui s'est trompé).
 
Je dois avouer que apres avoir passé 2 demi-journée a essayer de faire fonctionner dans tout les sens et ne toujours pas avoir reussi, je suis limite a me demander si le probleme de vient pas d'aillleur... (en reseau local je n'ai aucun pb a acceder au ftp).
 
Merci quand meme de vos réponses, et si vous avez d'autre conseils ou remarque a me faire n'hésitez pas, ils sont les bienvenus !

Up, sujet intéressant.

essaie ceci:
 
export IPT='sudo /sbin/iptables'
 
$IPT  -A INPUT -m state --state NEW,RELATED -p tcp ! --tcp-flags ALL SYN -j DROP
$IPT  -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# ftp + active ftp + pasv ftp
$IPT -A OUTPUT -p tcp --dport 80 -m state --state ESTABLISHED,NEW -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 21 -m state --state ESTABLISHED,NEW -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 50000:60000 -m state --state RELATED,ESTABLISHED -j ACCEPT
 

 
# modprobe ip_conntrack
# modprobe ip_conntrack_ftp
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d ipduserver --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s ipduserver --sport 21 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d ipduserver --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -s ipduserver --sport 1024:65535 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s ipduserver --sport 20 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d ipduserver --dport 20 -m state --state ESTABLISHED -j ACCEPT