Re: [port] ouverture de port TFTP

To: debian-user-french@lists.debian.org
Subject: Re: [port] ouverture de port TFTP
From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
Date: Wed, 01 Feb 2006 22:09:17 +0100
Message-id: <[🔎] 43E1237D.2040401@plouf.fr.eu.org>
In-reply-to: <[🔎] 43E0D5CE.9080206@mp342.org>
References: <[🔎] BAY105-F31A6BAEF33DFF751BDEBE4B60B0@phx.gbl> <[🔎] 43E0CDBF.1080701@free.fr> <[🔎] 43E0D5CE.9080206@mp342.org>

Marc PERRUDIN a écrit :

comment ouvre t on un port sur un serveur tftp sous debian?


On lance le démon qui écoute sur le port en question. ;-)

iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED  -p tcp
--dport 21 -j ACCEPT


C'est plutot:
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED  -p UDP
--dport  69 -j ACCEPT


Ne serait-ce pas plutôt :
iptables -A INPUT -m state --state NEW -p UDP --dport 69 -j ACCEPT

tftp fonctionne en UDP sur le port 69 pour le canal de commande et comme
le ftp passif pour les datas (cf /etc/services)

Pas vraiment. Il n'y a pas à proprement parler de canal de commande maisun unique datagramme. Le premier datagramme UDP émis pas le client, quicontient la requête, a comme port destination 69. Le premier datagrammeUDP émis par le serveur en réponse a un port source choisi par leserveur (différent de 69) et comme port destination le port sourceutilisé par le client dans le datagramme de requête. Les échangessuivants utilisent ces deux ports.

Il est donc inutile d'attendre des paquets dans l'état ESTABLISHED ouRELATED sur le port destination 69 puisque seul le premier paquetutilise ce port et a l'état NEW.

Attention : à cause du changement de port source, le suivi de connexionstandard de Netfilter/iptables n'est pas capable de reconnaître lepremier paquet de réponse du serveur comme lié au premier paquet derequête du client. S'il y a du filtrage en sortie du serveur, il estnécessaire de charger le module ip_conntrack_tftp afin que le premierpaquet de réponse du serveur soit vu comme RELATED et puisse êtreaccepté. S'il n'y a pas de filtrage en sortie, le premier paquet deréponse sera vu comme initiant une nouvelle connexion sortante. Ce mêmemodule peut être nécessaire sur le client s'il a du filtrage en entrée,pour la même raison.

Sauf erreur de ma part (non testé), les règles iptables suivantesdevraient être nécessaires et suffisantes pour le serveur TFTP :



# accepte en entree le premier paquet de requete TFTP
iptables -A INPUT -m state --state NEW -p UDP --dport 69 -j ACCEPT

# accepte en sortie la réponse à la requête (RELATED)
# (nécessite ip_conntrack_tftp)
# et les paquets de données ou d'acquittement suivants (ESTABLISHED)
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -p UDP -j ACCEPT

# accepte en entrée les paquets de données ou d'acquittement suivants
iptables -A INPUT -m state --state ESTABLISHED -p UDP -j ACCEPT

S'il y a du filtrage sur le client TFTP, les chaînes INPUT et OUTPUTsont logiquement permutées :



# accepte en sortie le premier paquet de requête TFTP
iptables -A OUTPUT -m state --state NEW -p UDP --dport 69 -j ACCEPT

# accepte en entree la réponse à la requête (RELATED)
# (necessite ip_conntrack_tftp)
# et les paquets de données ou d'acquittement suivants (ESTABLISHED)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -p UDP -j ACCEPT

# accepte en sortie les paquets de données ou d'acquittement suivants
iptables -A OUTPUT -m state --state ESTABLISHED -p UDP -j ACCEPT

Reply to:

References:
- [port] ouverture de port
  - From: "michael p" <mikep3000@hotmail.com>
- Re: [port] ouverture de port
  - From: Seb <sebnewsletter@free.fr>
- Re: [port] ouverture de port
  - From: Marc PERRUDIN <debianNOSPAM@mp342.org>

Prev by Date: Re: spamassasin sarge
Next by Date: Re: compilation et plus de modem
Previous by thread: Re: [port] ouverture de port
Next by thread: Re: [port] ouverture de port
Index(es):
- Date
- Thread