Re: Iptables [plus franchement FTP]

To: MEI Sébastien <s.mei@free.fr>, "debian-user-french@lists.debian.org" <debian-user-french@lists.debian.org>
Subject: Re: Iptables [plus franchement FTP]
From: Migrec <migrec@online.fr>
Date: Thu, 20 Jun 2002 09:32:43 +0200
Message-id: <[🔎] 02062009324301.00596@kayak>
In-reply-to: <[🔎] 20020620091903.2893a6c5.s.mei@free.fr>
References: <[🔎] 3CFB1EED00970FD3@mel-rta7.wanadoo.fr> <[🔎] 3CFB286C009E56FE@mel-rta9.wanadoo.fr> <[🔎] 20020620091903.2893a6c5.s.mei@free.fr>

Le Jeudi 20 Juin 2002 09:19, MEI Sébastien a écrit :

> regis a écrit :
> > -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state NEW,ESTABLISHED -p
> > tcp --sport 20 -j ACCEPT
> > iptables -A INPUT -i eth0 -s 192.168.0.1/24 -m state --state
> > NEW,ESTABLISHED -p tcp --dport 20 -j ACCEPT
> >
> > iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state
> > ESTABLISHED,RELATED  -p tcp --sport 20 -j ACCEPT
> > iptables -A OUTPUT -o eth0 -s 192.168.0.1/24 -m state --state
> > ESTABLISHED,RELATED  -p tcp --dport 20 -j ACCEPT
>
> Je vois que dans vos règle iptables vous spécifiez les ETABLISHED et les
> RELATED. Cela me fait douter pour mon firewall.
> Moi, j'acceptais toutes les connexions RELATED et ETABLISHED en me disant
> que de toutes facons pour qu'une connexion soit ETABLISHED ou RELATED il
> fallait d'abord qu'elle passe par un état NEW. Hors, voyant vos règles, je
> me dis que m'a conception est surement erronée.
> Pouvez-vous me confirmé cela ?
> Si oui, pourquoi ?

Je n'ai pas tout bien compris à l'histoire mais voici ce l'on m'a répondu sur 
fr.comp.securite :
==  CITATION  ============================================

Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion
attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne
peut avoir l'etat ESTABLISHED que si une connexion est deja active.

Dans notre cas, le paquet qui ouvre cette connexion part du client et a
l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour
cela que la regle en -i ppp0 ne porte que les ESTABLISHED.

> Comment est ouvert une connexion en FTP passif ? Apparement, il 
> n'y a pas de paquet marqué NEW dans ce cas...si ?

C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation
qui sert a l'etablissement de la connexion de donnees. Quand il la
repere, il en lit les parametres et prepare un etat pour la prendre en
charge. Des lors, le paquet d'initiation de cette connexion ne sera pas
NEW, mais RELATED, parce que correspondant a un etat attendu.

==  FIN DE CITATION  ========================================
-- 
Migrec


-- 
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

References:
- Iptables FTP
  - From: regis <luminix@wanadoo.fr>
- Re: Iptables FTP
  - From: regis <luminix@wanadoo.fr>
- Re: Iptables [plus franchement FTP]
  - From: MEI Sébastien <s.mei@free.fr>

Prev by Date: Re: FTP
Next by Date: RE: packages SID sur Woody
Previous by thread: Re: Iptables [plus franchement FTP]
Next by thread: Re: Iptables FTP
Index(es):
- Date
- Thread