Re: Iptables FTP

To: debian-user-french@lists.debian.org
Subject: Re: Iptables FTP
From: frederic massot <frederic@juliana-multimedia.com>
Date: Wed, 19 Jun 2002 14:31:02 +0200
Message-id: <[🔎] 3D107986.A7750593@juliana-multimedia.com>
References: <[🔎] 3CFB1EED00970FD3@mel-rta7.wanadoo.fr> <001f01c21787$9a1338d0$a302a8c0@pratx.alx.fr> <[🔎] 3CFB286C009C75C7@mel-rta9.wanadoo.fr> (added by postmaster@wanadoo.fr)

regis wrote:
> 
> 
> Que me conseillez vous pour faire un serveur ftp qui va avoir une dizaines de
> personnes maximum en simultané a savoir qu'il seront autentifié et pas en
> anonymes. (Les perssones ce conectant utiliseront aussi bien Windaube, MacOS
> et GNU/Linux) ?

Ici,

J'ai ces règles :

# Si tu as deux serveurs FTP "virtuel", sur les ports 21, FTP_PORT_1

modprobe ip_conntrack_ftp ports=21,$FTP_PORT_1

# Autoriser les connexions déjà établie, et le connexion relative, comme
par exemple le canal de donnée du protocole FTP.
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Autoriser le FTP entrants vers le serveur FTP port 21
$IPTABLES -A FORWARD -i $EXTERNAL_INTERFACE -o $INTERNAL_INTERFACE -p
tcp --sport $UNPRIVPORTS -d $FTP_SERVER --dport 21 -m state --state NEW
-j ACCEPT

# Autoriser le FTP entrants vers le serveur FTP port FTP_PORT_1
$IPTABLES -A FORWARD -i $EXTERNAL_INTERFACE -o $INTERNAL_INTERFACE -p
tcp --sport $UNPRIVPORTS -d $FTP_SERVER --dport $FTP_PORT_1 -m state
--state NEW -j ACCEPT

Et c'est tout, le module conntrack_ftp (de suivie de connexion) est
capable de reconnaitre le mode normale ou le mode passif.

Petit rappel sur Netfilter :

L'etat NEW dectecte un nouvelle connection, niveau 4 OSI.
La connection passe ensuite dans l'etat ESTABLISHED dans la table de
suivie de connection.
L'etat RELATED permet de vehiculer les paquets ICMP de contrôle de la
connection, ou dans le cas du FTP (avec le module conntrack_ftp) de
vehiculer le canal de données.

L'etat NEW ne s'occupe pas des options des paquets TCP, 
Tu peux donc ajouter ces règles :

$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A FORWARD -p tcp --syn -m state --state ESTABLISHED -j DROP

Si le firewall et le serveur FTP sont sur la meme machine, remplace
FORWARD par INPUT, et vire "-o $INTERNAL_INTERFACE"
-- 
==============================================
|              FREDERIC MASSOT               |
|     http://www.juliana-multimedia.com      |
|   mailto:frederic@juliana-multimedia.com   |
===========================Debian=GNU/Linux===

-- 
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

References:
- Iptables FTP
  - From: regis <luminix@wanadoo.fr>
- Re: Iptables FTP
  - From: regis <luminix@wanadoo.fr>

Prev by Date: [+/-OT] pbm ppp incompréhensible.
Next by Date: [OT] Le journal du Net s'attaque au logiciel libre
Previous by thread: Re: Iptables [plus franchement FTP]
Next by thread: [no subject]
Index(es):
- Date
- Thread