[Iptables] Config de ftp (résolu)

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 Page Suivante Page Précédente Bas de page
Auteur	Sujet : [Iptables] Config de ftp (résolu)

milou161185

Bonjour, j'ai quelques petits problèmes de configuration d'iptables. Voila mon serveur est correctement configuré, avec le ftp non autorisé. Seulement il faudrait qu'un poste, dont j'ai l'@ IP, puisse avoir le ftp d'autorisé. J'ai essayé en mettant cette ligne :
iptables -A FORWARD -p tcp -source !192.168.74.71 j --dport 21 -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -source !192.168.74.71 j --sport 21 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -source !192.168.74.71 j --sport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -source !192.168.74.71 j --dport 20 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT
Mais il me met comme erreur :
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `20'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `20'
Pourtant il me semble que c'est correct. Quelq'un aurait-il une idée. Merci beaucoup ! :hello:

Message cité 1 fois
Message édité par milou161185 le 22-03-2006 à 17:25:24

Publicité

ipnoz

Sapé comme jamais !

milou161185 a écrit :

je vois pas se que ca fais la :hello:

zepep

Voilà oui, commence par virer les -j en plein milieu des lignes ! ;-)

lokaly

Bonjour,

Oui bien sur il y a 2 -j alors que le bon est à la fin pour le ACCEPT.
Si ca ne suffit pas, essayes avec -s au lieu de --source.
Et puis le "!", il y a surement une utilité mais je ne la connais pas, est-ce bien nécessaire ?
Enfin, si tout cela ne fonctionne toujours pas, alors essayes avec -I (c'est un i maj comme Insert) au lieu de -A (add) afin que ces regles s'ajoutent AVANT d'éventuelles regles contraires...

A bientot.

milou161185

Bon j'ai fait tout comme vous m'avez dit... Mais ca marche toujours pas !! :cry:
Maintenant j'ai ca comme ligne :

iptables -I FORWARD -p tcp -s 192.168.74.71 --dport 21 -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --sport 21 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --sport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --dport 20 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT

Et pour répondre à lokaly, le ! sert a indiquer un "sauf", c'est-à-dire que je veux que seulement ce poste puisse avoir accès au ftp. Je l'ai enlevé mais ca ne change rien.

Message cité 1 fois

zepep

Message d'erreur ?

Concernant le '!', je crois qu'il faut un espace entre le caractère et l'IP qui suit...

milou161185

Nan je n'ai pa de message d'erreur :sweat:
Et voui effectivement il faut un espace entre le ! et l'@ IP. Mais avec le ! ou non ca ne change rien !!

zepep

Tu peux nous montrer le résultat d'un iptables -nvL ?

milou161185

Tiens vala :

Chain INPUT (policy ACCEPT 2183 packets, 373K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
1 413 ACCEPT all -- * * 172.24.0.0/16 0.0.0.0/0
1002 111K ACCEPT all -- * * 192.168.74.0/24 0.0.0.0/0

Chain FORWARD (policy ACCEPT 277K packets, 170M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 172.24.0.0/16 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 172.24.0.0/16 state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 261 packets, 28755 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 172.24.0.0/16
1010 380K ACCEPT all -- * * 0.0.0.0/0 192.168.74.0/25

ipnoz

Sapé comme jamais !

milou161185 a écrit :

Le ! empechait donc l'IP 192.168.74.71 de se connecter donc vaut mieux ne pas le mettre en effet [:nikolai] .
Sinon , le protocole FTP est complex , la tu laisse seulement entrer en FORWARD , du ftp actif , mais si le client se connect en passif , il pourra se connecter mais rien faire d'autre .

De plus , le port 20 doit etre ouvert vers le serveur ftp et non pas depuis le client ftp , et tu indique toujours la --source comme 192.168.74.71 , or quand il faut renvoyer des donner a cette ip , ben se n'est plus la source mais la destination ... je verais tes regles plus comme ca :

iptables -A FORWARD -p tcp -s 192.168.74.71 --dport 21 --sport 1024: -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.74.71 --sport 21 --dport 1024: -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.74.71 --dport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.74.71 --sport 20 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

A tu specifié en prerouting de rediriger le port 20:21 vers le serveur ftp ?

$IPT -t nat -A PREROUTING -i $NET_FACE -p tcp --sport 1024: --dport 20:21 -j DNAT --to $FTP_IP

ensuite voila mes regles concernant le ftp , notament pour du ftp passif :

# Ftp depuis 0/0 actif
$IPT -A FORWARD -p TCP --sport 1024: --dport 21 -j ACCEPT
$IPT -A FORWARD -p TCP --sport 21 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p TCP --sport 1024: --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p TCP --sport 20 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
# Ftp depuis 0/0 passif
$IPT -A FORWARD -p TCP --sport 1024: --dport 35000:36000 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p TCP --sport 35000:36000 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

J'ai specifié dans la conf de pure-ftpd d'utiliser les port 35000:36000 pour du ftp passif .

:hello:

Publicité

milou161185

Bon je crois qu'une explication approfondie s'impose. J'ai un routeur, 3 passerelles et un serveur web. Entre le routeur et les passerelles,c'est la DMZ. C'est le serveur web qui doit avoir l'accès ftp, et lui aussi est dans la DMZ. Les règles iptables en service n'autorisent que le http sur le réseau local.
Un iptables -nvL me donne cela :

Chain INPUT (policy DROP 3 packets, 716 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED
24 5375 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 1 packets, 618 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3000
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
34 30893 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123

Voila je crois que c'est tout ce que je peut dire de plus... ipnoz j'ai essayé se que tu m'avais dit, mais sans succés.

milou161185

Et un iptables -nvL avec la ligne que j'ai rajoutée pour le ftp donne cela :

Chain INPUT (policy DROP 1 packets, 40 bytes)
pkts bytes target prot opt in out source destination
4 279 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
3 806 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:53
3 164 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED
35 14598 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 192.168.74.71 tcp spt:20 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 192.168.74.71 0.0.0.0/0 tcp dpt:20 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 192.168.74.71 tcp spt:21 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth1 eth0 192.168.74.71 0.0.0.0/0 tcp spts:1024:65535 dpt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
2 80 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
2 80 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 1 packets, 740 bytes)
pkts bytes target prot opt in out source destination
4 279 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
2 88 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3000
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
4 989 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
49 45259 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123

Les lignes en gras sont celles qui ont été rajoutée pour le ftp

Merkiii

l0ky

Tu as bien sûr chargé les modules correctement ?
ip_nat_ftp
ip_conntrack_ftp

edit: avec ces modules une seule règle suffit
une regle pour autoriser le port 21 de ton client vers les serveurs ftp
iptables -A FORWARD -s client -p tcp --dport 21 -j ACCEPT

Plus une regle qui accepte les paquets dans l'etat ESTABLISHED et RELATED pour cette connection.

Message édité par l0ky le 22-03-2006 à 11:38:28

milou161185

heuuuuuu :sweat: :??:
Je n'ai pas chargé ces modules...
Je suppose que c'est pas bien... :sweat: :cry:

milou161185

Bon j'ai chargé les modules en rajoutant ces lignes :

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

Maintenant j'ai ces lignes la :

iptables -A FORWARD -s 192.168.74.71/16 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.74.71/16 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.74.71/16 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 192.168.74.71/16 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

Mais ca ne marche toujours pas...Help me please !! :cry:

l0ky

En même temps tu es en train de tapper des commandes sans savoir comment netfilter fonctionne derrière...
En gros tu fais n'importe quoi

Les serveurs FTP a ce que j'ai compris ils sont sur internet, et tu veux autoriser tes clients, chez toi a y accéder ?
C'est un subnet entier que tu veux autoriser ou seulement un host ?
D'ou sors tu ce /16 ?
Tu sais a quoi sert ESTABLISHED, NEW, RELATED ?
Tu te mélanges les pinceaux dans les ports sources et destinations ?
Et le protocole FTP il me semble que tu ne sais pas comment il marche...

Message édité par l0ky le 22-03-2006 à 14:49:36

l0ky

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -J ACCEPT
iptables -A FORWARD -s <ADDRRESS> -p tcp --dport 21 -m state --state NEW -J ACCEPT

Message cité 1 fois

l0ky

extrait de mon iptables -L -v -n:

9935K 7166M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
16 768 ACCEPT tcp -- * * 192.168.0.0/16 0.0.0.0/0 multiport dports 21 tcp flags:0x16/0x02 ctstate NEW

extrait de mon lsmod:

ipt_state 2304 1
ipt_LOG 6272 3
ipt_limit 2688 3
ip_nat_irc 4464 0
ip_nat_ftp 4976 0
ipt_MASQUERADE 3968 1
iptable_nat 22692 4 ip_nat_irc,ip_nat_ftp,ipt_MASQUERADE
ip_conntrack_irc 71600 1 ip_nat_irc
ip_conntrack_ftp 72240 1 ip_nat_ftp
ipt_multiport 2304 36
ipt_conntrack 2816 35
ip_conntrack 32908 8 ipt_state,ip_nat_irc,ip_nat_ftp,ipt_MASQUERADE,iptable_nat,ip_conntrack_irc,ip_conntrack_ftp,ipt_conntrack
iptable_mangle 3072 1
iptable_filter 3072 1
ip_tables 16896 12 ipt_TCPMSS,ipt_tcpmss,ipt_MARK,ipt_state,ipt_LOG,ipt_limit,ipt_MASQUERADE,iptable_nat,ipt_multiport,ipt_conntrack,iptable_mangle,iptable_filter

Message édité par l0ky le 22-03-2006 à 14:55:14

milou161185

Effectivement je ne sais pas comment le protocole ftp fonctionne, mais la connaissance c'est savoir que je ne sais pas...lol. Fin bref moi je demande qu'a le connaitre ce protocole ! Le ftp auquel de veux accèder est dans la dmz (le trafic que je voudrais serait interne a la dmz). Et je veux autoriser seulement un host précis. Et non je ne sais pas a quoi servent les protocoles cités...

Message cité 1 fois

milou161185

Et voici mon lsmod :

Module Size Used by Not tainted
ip_nat_ftp 2912 0 (unused)
ip_conntrack_ftp 3168 0 (unused)
ipt_state 608 12 (autoclean)
ipt_REDIRECT 736 1 (autoclean)
ipt_MASQUERADE 1216 1 (autoclean)
ipt_LOG 3136 0 (autoclean)
iptable_filter 1728 1 (autoclean)
iptable_nat 12628 2 (autoclean) [ip_nat_ftp ipt_REDIRECT ipt_MASQUERADE]
ip_conntrack 12652 3 (autoclean) [ip_nat_ftp ip_conntrack_ftp ipt_state ipt_REDIRECT ipt_MASQUERADE iptable_nat]
iptable_mangle 2112 0 (autoclean) (unused)
ip_tables 10432 9 [ipt_state ipt_REDIRECT ipt_MASQUERADE ipt_LOG iptable_filter iptable_nat iptable_mangle]
3c59x 24616 1
3c509 7936 1
isa-pnp 27400 0 [3c509]
keybdev 1664 0 (unused)
usbkbd 2848 0 (unused)
input 3040 0 [keybdev usbkbd]
usb-uhci 20676 0 (unused)
usbcore 48000 0 [usbkbd usb-uhci]

l0ky

NEW ESTABLISHED et RELATED ne sont pas des protocoles, ce sont les états des connections qui traverse ton firewall.

l0ky a écrit :

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -J ACCEPT
iptables -A FORWARD -s <ADDRRESS CLIENT> -d <SERVEUR FTP> -p tcp --dport 21 -m state --state NEW -J ACCEPT

Devrait suffir

l0ky

milou161185 a écrit :

Le ftp auquel de veux accèder est dans la dmz (le trafic que je voudrais serait interne a la dmz).

Interne a la DMZ, c'est a dire ?
Ton client est sur le meme réseau que ton serveur ?
Ton firewall se trouve sur ton serveur ?

milou161185

Bon j'ai fait tout comme tu m'as dit, mais ca ne marche toujours pas :sweat: .

Voici mon iptables -nvL :

Chain INPUT (policy DROP 21 packets, 2348 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
13 2043 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED
98 64357 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
140 92225 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.74.71 0.0.0.0/0 tcp dpt:21 state NEW
0 0 ACCEPT udp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
1 48 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
7 304 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3000
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
110 117K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123

Et puis mon lsmod :

Module Size Used by Not tainted
ip_nat_ftp 2912 0 (unused)
ip_conntrack_ftp 3168 0 (unused)
ipt_state 608 12 (autoclean)
ipt_REDIRECT 736 1 (autoclean)
ipt_MASQUERADE 1216 1 (autoclean)
ipt_LOG 3136 0 (autoclean)
iptable_filter 1728 1 (autoclean)
iptable_nat 12628 2 (autoclean) [ip_nat_ftp ipt_REDIRECT ipt_MASQUERADE]
ip_conntrack 12652 3 (autoclean) [ip_nat_ftp ip_conntrack_ftp ipt_state ipt_REDIRECT ipt_MASQUERADE iptable_nat]
iptable_mangle 2112 0 (autoclean) (unused)
ip_tables 10432 9 [ipt_state ipt_REDIRECT ipt_MASQUERADE ipt_LOG iptable_filter iptable_nat iptable_mangle]
3c59x 24616 1
3c509 7936 1
isa-pnp 27400 0 [3c509]
keybdev 1664 0 (unused)
usbkbd 2848 0 (unused)
input 3040 0 [keybdev usbkbd]
usb-uhci 20676 0 (unused)
usbcore 48000 0 [usbkbd usb-uhci]

l0ky

Si tu pouvais répondre à ma question :
Le firewall il se trouve sur ton serveur FTP ou pas ?

milou161185

Oui mon client est sur le meme réseau que le ftp auquel je voudrais accéder, seulement tous le trafic passe par une passerelle, où est situé le firewall.

l0ky

si ton client se trouve sur le même réseau que ton serveur le trafic entre ton client et ton serveur ne passe pas par ta paserelle !

milou161185

Ben dans mon cas si.
Explication : le ftp a comme passerelle par défaut le routeur, qui lui a pour passerelle la passerelle de la dmz (on va l'appeler A) et donc A bloque mon trafic.

milou161185

Je crois que je viens de sortir une horrible idiotie... :sweat:

milou161185

Vu qu'il est sur le même réseau il ne passe pas par la passerelle par défaut, et donc ne devrait pas etre bloqué...

l0ky

fait un schéma...

Si ton client et ton serveur son sur le meme reseau (mettons 192.168.0.0 avec le masque 255.255.255.0) le client, pour joindre ton serveur n'utilisera jamais de routeur, il va tenter de tout envoyer sur son lien..

milou161185

Mais pourquoi ca bloque ??? la je suis perdue !

l0ky

Bah si ils sont reellement sur le même réseaux....
vérifie les firewalls sur ton serveur et sur ton client
vérifie que le service FTP tourne

milou161185

Le truc c'est que sur la passerelle il y un script qui lance des regles iptables. Si je met pas de regles ca marche, mais si je les met ca ne marche plus... Alors que ca ne devrait pas avoir d'incidences...

l0ky

Il m'a l'air super bien foutu ton réseau...

milou161185

Mais si mais si...Mais c'est pas moi qui l'ai fait :sweat:

milou161185

Voici un schéma paint du réseau :

Message édité par milou161185 le 22-03-2006 à 16:23:02

l0ky

Super et il sert le routeur a gauche ?
sinon il faudrait l'adressage (adresse/netmask) et les routes du client et du serveur ftp

Message édité par l0ky le 22-03-2006 à 16:26:10

milou161185

Le routeur, c'est lui qui donne l'accès au net donc oui il sert.
route ftp :
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.74.0 * 255.255.255.0 U 0 0 0 eth0
172.25.0.0 * 255.255.0.0 U 0 0 0 eth1
default 192.168.74.74 0.0.0.0 UG 0 0 0 eth0

route client :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.74.74 192.168.74.71 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.74.0 255.255.255.0 192.168.74.71 192.168.74.71 10
192.168.74.71 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.74.255 255.255.255.255 192.168.74.71 192.168.74.71 10
224.0.0.0 240.0.0.0 192.168.74.71 192.168.74.71 10
255.255.255.255 255.255.255.255 192.168.74.71 192.168.74.71 1
255.255.255.255 255.255.255.255 192.168.74.71 20002 1
Passerelle par défaut : 192.168.74.74

Zzozo

Modérateur
Un peu, passionément, à la fol

heu, on va essayer de faire simple ...
Ton serveur ftp est celui sur lequel tu veux mettre en place un fw à l'aide de iptables/netfilter ?

Il a combien d'interfaces réseaux (2 si j'ai bien compris) ? Où sont elles physiquement connectées ? (le résultat de la commande ifconfig -a lancée sur cette machine, serait le bienvenue d'ailleurs ... )

Mis à part filtrer l'accès au service Ftp, il doit/est censé faire quoi le firewall, sur cette machine ?

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle

l0ky

En fait d'apres ce que j'ai compris il essayait de configurer A, qui est un firewall...

Publicité

Page : 1 2

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

[Iptables] Config de ftp (résolu)

Sujets relatifs
[résolu] Samba : prob de nom de machine (netbios ?)	[RESOLU]choix du type d'affichage/mandriva 2006
[résolu]Enregistrer son d'une anim Flash	[Résolu] Script en tcl/tk8.0 ???
pb config xorg	Mandriva 2006 + scanner scsi = bug [résolu]
Multiposte (free tv) >> configuration de Arno's iptables	Iptables, restreindre l'acces internet pour certains postes
[resolu]kded provoque une défaillance	Quel OS alternatif le plus léger pour petite config ?
Plus de sujets relatifs à : [Iptables] Config de ftp (résolu)

Page générée en 0.128 secondes