Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1634 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Problème iptables + FTP

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problème iptables + FTP

n°303010
pat_testa_​mora
Posté le 07-08-2003 à 21:38:58  profilanswer
 

Salut à tous,
j'ai mis en place un petit firewall sous iptables mais pas moyen de le configuer pour gérer les accès ftp de mon serveur
j'ai bien sur activé les differents modules comme ip_contrack etc..
de l'aide serait la bien venue
 
----------------------------------------------------------------
# Pour Autoriser les connexion FTP sur mon serveur
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1024:65535 --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 1024:65535 --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

mood
Publicité
Posté le 07-08-2003 à 21:38:58  profilanswer
 

n°303057
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 07-08-2003 à 22:33:08  profilanswer
 

pat_testa_mora a écrit :

Salut à tous,
j'ai mis en place un petit firewall sous iptables mais pas moyen de le configuer pour gérer les accès ftp de mon serveur
j'ai bien sur activé les differents modules comme ip_contrack etc..
de l'aide serait la bien venue
 
----------------------------------------------------------------
# Pour Autoriser les connexion FTP sur mon serveur
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1024:65535 --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 1024:65535 --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
 


Euh ... déjà quelles sont les interfaces entrantes et sortantes sur ta machine ? ... :o

n°303065
pat_testa_​mora
Posté le 07-08-2003 à 23:00:30  profilanswer
 

salut,
une seule c'est un serveur en publique donc une seule interface eth0


Message édité par pat_testa_mora le 07-08-2003 à 23:00:41
n°303073
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 07-08-2003 à 23:23:06  profilanswer
 

pat_testa_mora a écrit :

salut,
une seule c'est un serveur en publique donc une seule interface eth0


 :??:  
Tu n'as que eth0  ... pas de ppp0 ou de eth1 ?
Il est accessible uniquement en LAN ton serveur ?
 

n°303079
pat_testa_​mora
Posté le 07-08-2003 à 23:30:20  profilanswer
 

non je suis connecté à un routeur qui est publique lui aussi  

n°303080
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 07-08-2003 à 23:32:07  profilanswer
 

pat_testa_mora a écrit :

non je suis connecté à un routeur qui est publique lui aussi  
 


Un vrai routeur ou un truc ADSL ?
t'as une adresse IP assignée à eth0 ?

n°303095
pat_testa_​mora
Posté le 07-08-2003 à 23:42:08  profilanswer
 

oui un vrai routeur j'ai une ip publique sur eth0
c'est simple j'ai un abonnement internet qui me donne deux IP publiques une pour mon routeur et une pour mon serveur de cette façon tout le monde peut accéder à mes services (server DNS, server ftp, serveur web, serveur de messagerie, webmail etc...) mais j'ai voulu installer un firewall iptables de façon à povoir logguer les packets qui arrivent sur ma machine.
j'y arrive pour tous les services sauf pour le ftp


Message édité par pat_testa_mora le 07-08-2003 à 23:43:03
n°303108
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 07-08-2003 à 23:52:09  profilanswer
 

on peut avoir le résultat d'un iptables -L -n ?

n°303111
Tomate
Posté le 07-08-2003 à 23:54:24  profilanswer
 

Zzozo a écrit :

on peut avoir le résultat d'un iptables -L -n ?


voyeur :D


---------------
:: Light is Right ::
n°303112
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 07-08-2003 à 23:55:30  profilanswer
 

tomate77 a écrit :


voyeur :D


M'enfin ... :o
Sans ça, autant demander à Ray Charles ou Stevie Wonder de l'aider ... :o ... :D

mood
Publicité
Posté le 07-08-2003 à 23:55:30  profilanswer
 

n°303116
Tomate
Posté le 07-08-2003 à 23:58:37  profilanswer
 

Zzozo a écrit :


M'enfin ... :o
Sans ça, autant demander à Ray Charles ou Stevie Wonder de l'aider ... :o ... :D

:lol:


---------------
:: Light is Right ::
n°303123
pat_testa_​mora
Posté le 08-08-2003 à 00:03:23  profilanswer
 

voici le résultat de iptables -L -n
-----------------------------------------------------------
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spt:53 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:53 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          state NEW,ESTABLISHED tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:22 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:25 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:110 state NEW,ESTABLISHED
LOG_DROP   all  --  0.0.0.0/0            0.0.0.0/0
 
Chain FORWARD (policy DROP)
target     prot opt source               destination
LOG_DROP   all  --  0.0.0.0/0            0.0.0.0/0
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:53 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:53 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          state ESTABLISHED tcp spt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:25 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:25 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:110 state NEW,ESTABLISHED
LOG_DROP   all  --  0.0.0.0/0            0.0.0.0/0
 
Chain LOG_DROP (3 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0          LOG flags 0 level 4 prefix `[IPTABLES DROP] :'
DROP       all  --  0.0.0.0/0            0.0.0.0/0

n°303129
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 08-08-2003 à 00:08:24  profilanswer
 

Il te manque pas une règle du style :


iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

n°303132
pat_testa_​mora
Posté le 08-08-2003 à 00:09:51  profilanswer
 

je teste de suite

n°303135
pat_testa_​mora
Posté le 08-08-2003 à 00:13:35  profilanswer
 

non ça ne marche pas je vais essayer autre chose New,established pour voir

n°303140
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 08-08-2003 à 00:16:28  profilanswer
 

Attends ... si j'ai bien compris, tu n'accèdes pas au serveur Ftp sur cette machine, sbien ça ?

n°303142
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 08-08-2003 à 00:17:41  profilanswer
 

un lsmod donnes quoi ?

n°303143
pat_testa_​mora
Posté le 08-08-2003 à 00:18:48  profilanswer
 

oui c'est ça je 'arrive pas à accéder au ftp sur cette machine
 
Module                  Size  Used by    Not tainted
iptable_mangle          2776   0  (autoclean) (unused)
ip_conntrack_ftp        5296   1  (autoclean)
ip_nat_ftp              4112   0  (unused)
iptable_nat            21720   1  [ip_nat_ftp]
ipt_REJECT              3928   0  (autoclean)
ipt_LOG                 4152   1  (autoclean)
ipt_state               1048  19  (autoclean)
ip_conntrack           26976   3  (autoclean) [ip_conntrack_ftp ip_nat_ftp iptable_nat ipt_state]
iptable_filter          2412   1  (autoclean)
ip_tables              15096   8  [iptable_mangle iptable_nat ipt_REJECT ipt_LOG ipt_state iptable_filter]
nls_iso8859-1           3516   0  (autoclean)
nls_cp437               5116   0  (autoclean)
vfat                   13004   0  (autoclean)
fat                    38808   0  (autoclean) [vfat]
ide-cd                 35708   0  (autoclean)
cdrom                  33728   0  (autoclean) [ide-cd]
mousedev                5492   1  (autoclean)
input                   5856   0  (autoclean) [mousedev]
radeon                116132   1
agpgart                47776   3
lp                      8996   0  (autoclean)
parport                37056   0  (autoclean) [lp]
autofs                 13268   0  (autoclean) (unused)
via-rhine              15856   1
mii                     3976   0  [via-rhine]
ext3                   70784   7
jbd                    51892   7  [ext3]

n°303144
pat_testa_​mora
Posté le 08-08-2003 à 00:21:56  profilanswer
 

c'est bon j'ai trouvé enfin je ne sais pas si c'est vraiment secure mais bon ça marche
 
vous en pensez quoi ???
---------------------------------------------
# Pour Autoriser les connexion FTP sur notre serveur
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 1024:65535 --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT


Message édité par pat_testa_mora le 08-08-2003 à 00:22:30
n°303166
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 08-08-2003 à 01:04:10  profilanswer
 

Ca donne quoi le iptables -L -n maintenant ?

n°303273
pat_testa_​mora
Posté le 08-08-2003 à 08:03:01  profilanswer
 

voici le resultat
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp spt:53 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:53 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          state NEW,ESTABLISHED tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:22 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:21 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:20 state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:25 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:110 state NEW,ESTABLISHED
LOG_DROP   all  --  0.0.0.0/0            0.0.0.0/0
 
Chain FORWARD (policy DROP)
target     prot opt source               destination
LOG_DROP   all  --  0.0.0.0/0            0.0.0.0/0
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:53 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:53 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          state ESTABLISHED tcp spt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:22 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:21 state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:20 state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:25 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:25 state ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:110 state NEW,ESTABLISHED
LOG_DROP   all  --  0.0.0.0/0            0.0.0.0/0
 
Chain LOG_DROP (3 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0          LOG flags 0 level 4 prefix `[IPTABLES DROP] :'
DROP       all  --  0.0.0.0/0            0.0.0.0/0

n°303278
le passant
Posté le 08-08-2003 à 08:32:42  profilanswer
 

Si c'est très bien, et avant c'était normal que ça ne marche pas :
 
- tu ne permettais que les demandes de connexion à ton FTP

Code :
  1. iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -j ACCEPT

 
- après, tu droppais les connexions établies !
 
Maintenant, tu :
 
- autorise les demandes de connexion

Code :
  1. iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -j ACCEPT

 
- ET tu gère les connexions établies

Code :
  1. iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT


 
Il ne faut pas oublier avec Iptables d'ouvrir la porte, mais aussi d'y autoriser du traffic  [:ogmios] !
 
Le passant.

n°303281
farib
Posté le 08-08-2003 à 08:58:39  profilanswer
 

et c'est pas la peine d'ouvrir les ports pour le ftp activ, y'a des modules pour ça.

n°303305
pat_testa_​mora
Posté le 08-08-2003 à 10:43:46  profilanswer
 

salut le passant,
si je ne mets que  
 
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -j ACCEPT
 
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT
 
il faut autoriser le retour aussi comme:
 
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
mais même en mettant cela ça ne parche pas
 
je n'ai trouvé que ce que j'ai fait pour que ça marche
 
 

n°303310
farib
Posté le 08-08-2003 à 11:06:20  profilanswer
 

pat_testa_mora a écrit :


iptables -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
 


 
le client ftp, il a surement pas la connection sur le port 21

n°303311
pat_testa_​mora
Posté le 08-08-2003 à 11:19:27  profilanswer
 

je ne comprends pas comment faire alors
 
iptables -A OUTPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ????????

n°303312
farib
Posté le 08-08-2003 à 11:24:29  profilanswer
 

pat_testa_mora a écrit :

je ne comprends pas comment faire alors
 
iptables -A OUTPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ????????


tu acceptes les connections entrantes port 21
 
 
et pkoi tu te fais chier avec les output ?


Message édité par farib le 08-08-2003 à 11:25:04
n°303329
pat_testa_​mora
Posté le 08-08-2003 à 12:47:06  profilanswer
 

si j'accepte les connexions sur le port 21 et que je charge ip_conntrack, ip_contrack_ftp et ip_nat_ftp ça ne marche pas


Message édité par pat_testa_mora le 08-08-2003 à 12:47:18
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Problème iptables + FTP

 

Sujets relatifs
[Debian] problème aptProblème de boot avec le kernel 2.6.0test2
Probleme avec le Logiciel VFAPIprobleme de comilation noyau : libncurses
Problème avec linux pour installer carete Ethernet d'un Shuttle SN41G2Problème amorçage Mandrake 9.1 à cause de SCSI...
Problème avec transcode sur Mdk 9.1Problème partimage
[Bash] Problème de script dans un if.. fiProblème avec apt-get
Plus de sujets relatifs à : Problème iptables + FTP

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.196 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR