[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ouvrir un port iptable je suis perdu...

Le samedi 11 octobre 2003, alde a écrit...


	bonjour,


> tcpdump me revoit :
Tu es sur quelle machine quand tu as lancé tcpdump ?

> 11:20:12.893435 192.168.0.1.1125 > ftpav.ca.com.ftp: F 160:160(0) ack 283
> win 17142 (DF)
parce que là je vois une ip de réseau interne, donc t'es pas sur la
passerelle je pense que tu aurais une ip publique masqueradée.

Premier paquet que tu donnes, mais je ne sais pas où tu en es dans la
connexion, tu envoies une fermeture de connexion sur le serveur ftp avec
un paquet qui possède un flag FIN (F)

> 11:20:13.001382 ftpav.ca.com.ftp > 192.168.0.1.1125: . ack 161 win 65340
> (DF)
le serveur distant accepte la fermeture de connexion avec un ack

> 11:20:27.838429 ftpav.ca.com.ftp > 192.168.0.1.1117: FP 0:53(53) ack 1 win
> 65340 (DF)
Et il ferme aussi en t'envoyant quelques bricoles de data.

> Etant completement novice je me dis bon ok pour le port 1125 et 1117. (au
> passage j'ouvre le port 20 et 21 en nat).
Pourquoi ? Tu devrais faire de la doc sur le fonctionnement d'iptables.

Le serveur ftp envoie des données du port 21 vers un port > 1024 en mode
actif, et d'un port > 1024 vers un port > 1024 en mode passif. Le port
20 n'est qu'un port de commande.

Donc il y a un problème au niveau de la transmission de ton AV au
serveur ftp, dirais je, si tu nous donnes là le début du _dialogue_,
puisque tu nous montre une terminaison de connexion.

Il faudrait le début de la connexion, pour voir si quelque chose est
initié.

> #Ouverture pour download signature ETrust innoculated
> iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:20 -j
> DNAT --to 192.168.0.1:20
> iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j
> ACCEPT
oups oups oups.
Lis le netfilter-HOWTO
renseignes toi sur tcp.
-- 
Jean-Michel

N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Reply to: