Re: FTP avec NAT (était ... réseau NATé)
Charles Goyard wrote:
>
> frederic massot a écrit :
> > Charles Goyard wrote:
> > >
> > > Voici les règles IPChains que j'utilise (au passage, si vous
> > > connaîssez un truc plus sûr pour le FTP sans se mettre en mode passif,
> > > ça m'interesse.)
> >
> > Il y a iptables noyau 2.4 qui est un firewall a etats, il possede un
> > module specifique pour suivre les sessions ftp.
>
> Pourtant, le module existe pour ipchains aussi :
> charles@routeur:~$ /sbin/lsmod
> Module Size Used by
> ip_masq_ftp 3804 0
> [...]
>
> Si ça ne fait pas ça, à quoi ça sert ?
>
Houla, c'est pas du tout pareille. :-)
Le module ip_masq_ftp permet d'utiliser le ftp avec un systeme de
translation d'adresse NAT.
Iptables contient aussi ce module.
Iptables est un firewall a etats, en clair, il est capable de savoir
quels sont les paquets faisant partie d'une meme session (connexion)
grace au module ip_conntrack.
Ce module ip_conntrack, possede un module specifique pour le ftp.
Le probleme d'ipchains avec le ftp, c'est qu'a un moment tu es oblige
d'ecrire une ligne du style (de memoire) :
ipchains -A input -p tcp -s 0/0 1024:65534 -d $SERVEUR 1024:65534
Ce qui ouvre grand la porte au scan.
Avec iptables, cette porte ouverte est associee au precedent paquet, qui
ont commence la session ftp, dont une connexion au port 20.
Plus d'autres subtilites qui sont senses empecher les scans.
--
==============================================
| FREDERIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:frederic@juliana-multimedia.com |
===========================Debian=GNU/Linux===
Reply to: