Problème iptables + FTP
Problème iptables + FTP - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 07-08-2003 à 22:33:08
| pat_testa_mora a écrit : Salut à tous, |
Euh ... déjà quelles sont les interfaces entrantes et sortantes sur ta machine ? ... 
Marsh Posté le 07-08-2003 à 23:00:30
salut,
une seule c'est un serveur en publique donc une seule interface eth0
Message édité par pat_testa_mora le 07-08-2003 à 23:00:41
Marsh Posté le 07-08-2003 à 23:23:06
| pat_testa_mora a écrit : salut, |
Tu n'as que eth0 ... pas de ppp0 ou de eth1 ?
Il est accessible uniquement en LAN ton serveur ?
Marsh Posté le 07-08-2003 à 23:30:20
non je suis connecté à un routeur qui est publique lui aussi
Marsh Posté le 07-08-2003 à 23:32:07
| pat_testa_mora a écrit : non je suis connecté à un routeur qui est publique lui aussi |
Un vrai routeur ou un truc ADSL ?
t'as une adresse IP assignée à eth0 ?
Marsh Posté le 07-08-2003 à 23:42:08
oui un vrai routeur j'ai une ip publique sur eth0
c'est simple j'ai un abonnement internet qui me donne deux IP publiques une pour mon routeur et une pour mon serveur de cette façon tout le monde peut accéder à mes services (server DNS, server ftp, serveur web, serveur de messagerie, webmail etc...) mais j'ai voulu installer un firewall iptables de façon à povoir logguer les packets qui arrivent sur ma machine.
j'y arrive pour tous les services sauf pour le ftp
Message édité par pat_testa_mora le 07-08-2003 à 23:43:03
Marsh Posté le 07-08-2003 à 23:54:24
| Zzozo a écrit : on peut avoir le résultat d'un iptables -L -n ? |
voyeur 
---------------
:: Light is Right ::
Marsh Posté le 07-08-2003 à 23:55:30
| tomate77 a écrit : |
M'enfin ...
Sans ça, autant demander à Ray Charles ou Stevie Wonder de l'aider ... ...
Marsh Posté le 07-08-2003 à 23:58:37
| Zzozo a écrit : |
---------------
:: Light is Right ::
Marsh Posté le 08-08-2003 à 00:03:23
voici le résultat de iptables -L -n
-----------------------------------------------------------
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 state NEW,ESTABLISHED
LOG_DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt source destination
LOG_DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:110 state NEW,ESTABLISHED
LOG_DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain LOG_DROP (3 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `[IPTABLES DROP] :'
DROP all -- 0.0.0.0/0 0.0.0.0/0
Marsh Posté le 08-08-2003 à 00:08:24
Il te manque pas une règle du style :
|
Marsh Posté le 08-08-2003 à 00:13:35
non ça ne marche pas je vais essayer autre chose New,established pour voir
Marsh Posté le 08-08-2003 à 00:16:28
Attends ... si j'ai bien compris, tu n'accèdes pas au serveur Ftp sur cette machine, sbien ça ?
Marsh Posté le 08-08-2003 à 00:18:48
oui c'est ça je 'arrive pas à accéder au ftp sur cette machine
Module Size Used by Not tainted
iptable_mangle 2776 0 (autoclean) (unused)
ip_conntrack_ftp 5296 1 (autoclean)
ip_nat_ftp 4112 0 (unused)
iptable_nat 21720 1 [ip_nat_ftp]
ipt_REJECT 3928 0 (autoclean)
ipt_LOG 4152 1 (autoclean)
ipt_state 1048 19 (autoclean)
ip_conntrack 26976 3 (autoclean) [ip_conntrack_ftp ip_nat_ftp iptable_nat ipt_state]
iptable_filter 2412 1 (autoclean)
ip_tables 15096 8 [iptable_mangle iptable_nat ipt_REJECT ipt_LOG ipt_state iptable_filter]
nls_iso8859-1 3516 0 (autoclean)
nls_cp437 5116 0 (autoclean)
vfat 13004 0 (autoclean)
fat 38808 0 (autoclean) [vfat]
ide-cd 35708 0 (autoclean)
cdrom 33728 0 (autoclean) [ide-cd]
mousedev 5492 1 (autoclean)
input 5856 0 (autoclean) [mousedev]
radeon 116132 1
agpgart 47776 3
lp 8996 0 (autoclean)
parport 37056 0 (autoclean) [lp]
autofs 13268 0 (autoclean) (unused)
via-rhine 15856 1
mii 3976 0 [via-rhine]
ext3 70784 7
jbd 51892 7 [ext3]
Marsh Posté le 08-08-2003 à 00:21:56
c'est bon j'ai trouvé enfin je ne sais pas si c'est vraiment secure mais bon ça marche
vous en pensez quoi ???
---------------------------------------------
# Pour Autoriser les connexion FTP sur notre serveur
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1024:65535 --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
Message édité par pat_testa_mora le 08-08-2003 à 00:22:30
Marsh Posté le 08-08-2003 à 08:03:01
voici le resultat
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:53 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 state NEW,ESTABLISHED
LOG_DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt source destination
LOG_DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 state NEW,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:110 state NEW,ESTABLISHED
LOG_DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain LOG_DROP (3 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `[IPTABLES DROP] :'
DROP all -- 0.0.0.0/0 0.0.0.0/0
Marsh Posté le 08-08-2003 à 08:32:42
Si c'est très bien, et avant c'était normal que ça ne marche pas :
- tu ne permettais que les demandes de connexion à ton FTP
Code :
|
- après, tu droppais les connexions établies !
Maintenant, tu :
- autorise les demandes de connexion
Code :
|
- ET tu gère les connexions établies
Code :
|
Il ne faut pas oublier avec Iptables d'ouvrir la porte, mais aussi d'y autoriser du traffic ![[:ogmios]](https://forum-images.hardware.fr/images/perso/ogmios.gif "[:ogmios]")
!
Le passant.
Marsh Posté le 08-08-2003 à 08:58:39
et c'est pas la peine d'ouvrir les ports pour le ftp activ, y'a des modules pour ça.
Marsh Posté le 08-08-2003 à 10:43:46
salut le passant,
si je ne mets que
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT
il faut autoriser le retour aussi comme:
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
mais même en mettant cela ça ne parche pas
je n'ai trouvé que ce que j'ai fait pour que ça marche
Marsh Posté le 08-08-2003 à 11:06:20
| pat_testa_mora a écrit : |
le client ftp, il a surement pas la connection sur le port 21
Marsh Posté le 08-08-2003 à 11:19:27
je ne comprends pas comment faire alors
iptables -A OUTPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ????????
Marsh Posté le 08-08-2003 à 11:24:29
| pat_testa_mora a écrit : je ne comprends pas comment faire alors |
tu acceptes les connections entrantes port 21
et pkoi tu te fais chier avec les output ?
Message édité par farib le 08-08-2003 à 11:25:04
Marsh Posté le 08-08-2003 à 12:47:06
si j'accepte les connexions sur le port 21 et que je charge ip_conntrack, ip_contrack_ftp et ip_nat_ftp ça ne marche pas
Message édité par pat_testa_mora le 08-08-2003 à 12:47:18
Sujets relatifs:
- [Debian] problème apt
- Problème de boot avec le kernel 2.6.0test2
- Probleme avec le Logiciel VFAPI
- probleme de comilation noyau : libncurses
- Problème avec linux pour installer carete Ethernet d'un Shuttle SN41G2
- Problème amorçage Mandrake 9.1 à cause de SCSI...
- Problème avec transcode sur Mdk 9.1
- Problème partimage
- [Bash] Problème de script dans un if.. fi
- Problème avec apt-get
Marsh Posté le 07-08-2003 à 21:38:58
Salut à tous,
j'ai mis en place un petit firewall sous iptables mais pas moyen de le configuer pour gérer les accès ftp de mon serveur
j'ai bien sur activé les differents modules comme ip_contrack etc..
de l'aide serait la bien venue
----------------------------------------------------------------
# Pour Autoriser les connexion FTP sur mon serveur
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1024:65535 --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 1024:65535 --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT