Re: Iptable + ftp + ssh

To: debian-french@lists.debian.org
Cc: <debian-french@lists.debian.org>
Subject: Re: Iptable + ftp + ssh
From: Eduardo Damato <damato@unesp.br>
Date: Wed, 25 Jul 2001 13:36:53 -0300 (BRT)
Message-id: <[🔎] Pine.LNX.4.33.0107251323240.4607-100000@civitate.ai.unesp.br>
In-reply-to: <[🔎] 20010725074637.B12707@genibel.org>

Bonjour à tous,
Salut,

Ce truc est très interressant, mais je crois qu'il ne va pas fonctioner,
pour le ftp, même si vouz ajoutez une régle pour la port 20. Le problème
du ftp est qu'il emploi la port 20 pour obtenir les requisitions et aussi
le login, mais pour faire la transf. il utilise la port 21. Donc le
serveur fait SYN avec -sport 21 dans votre ordinateur, et ce SYN ne sera
pas accepté. La mieux sortie est avoir un "stateful filter", mais n'est-ce
pas le cas de IPTABLES. malheuresement.
L'alternative moins interressante est l'ftp passive, quand le serveur vouz
envoie la port de transf. des donnés. La plus interressante est l'scp, qui
travaille comme le rcp, mais tunellée pour l'ssl dans la porte ssh/TCP22.

Pardon pour mon français très pauvre.
à bientôt,
Eduardo.

-- 
Eduardo Damato
Analista de Redes - GRC
Assessoria de Informática - UNESP

email: damato@unesp.br
fone: (11) 252-0577

On Wed, 25 Jul 2001, Igor Genibel wrote:

> On Tue, Jul 24, 2001 at 03:24:28AM +0200, Régis Gaidot wrote:
> > Bonjour à tous,
> Salut,
>
> essaye un truc du genre:
>         echo "Setting up policy"
>         iptables -P INPUT DROP
>         iptables -P OUTPUT DROP
>         iptables -P FORWARD DROP
>         echo "flush everything"
>         iptables -F INPUT
>         iptables -F OUTPUT
>         iptables -F FORWARD
>         iptables -F block
>
>         echo
>         echo "All interfaces:"
>         echo "  Accept anything on loopback"
>         iptables -A INPUT -i lo -j ACCEPT
>         iptables -A OUTPUT -o lo -j ACCEPT
>
>         echo "  Accept all outgoing connections"
>         iptables -A OUTPUT -j ACCEPT
>
>         echo "  Icmp rules"
>         iptables -A INPUT -p icmp -j ACCEPT
>
>         echo "  Accept some connections"
>         iptables -A INPUT -i eth0 -p tcp ! --syn -j ACCEPT
>         iptables -N block
>         iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
>         iptables -A block -m state --state NEW -i ! eth0 -j ACCEPT
>         iptables -A block -j DROP
>         echo "    Accept all dns responses"
>         iptables -A INPUT -i eth0 -p tcp --sport 53 -j ACCEPT
>         iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
>         echo "    Accept incoming and outgoing ssh"
>         iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
>         echo "    Accept smtp transactions"
>         iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
>         echo "    Accept igmp transactions"
>         iptables -A INPUT -i eth0 -p igmp -j ACCEPT
>         echo "    Block and log all others"
>         iptables -A INPUT -j block
>         iptables -A INPUT -j LOG
>
> Voilà.
>
>

Reply to:

Follow-Ups:
- Re: Iptable + ftp + ssh
  - From: Igor Genibel <igor@genibel.org>

References:
- Re: Iptable + ftp + ssh
  - From: Igor Genibel <igor@genibel.org>

Prev by Date: Fontes TrueTypes
Next by Date: Re: Fontes TrueTypes
Previous by thread: Re: Iptable + ftp + ssh
Next by thread: Re: Iptable + ftp + ssh
Index(es):
- Date
- Thread