[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RE: ouvrir un port iptable je suis perdu...

> 	bonjour,
>
>
> > tcpdump me revoit :
> Tu es sur quelle machine quand tu as lancé tcpdump ?
>

sur le serveur directement.

> > 11:20:12.893435 192.168.0.1.1125 > ftpav.ca.com.ftp: F
> 160:160(0) ack 283
> > win 17142 (DF)
> parce que là je vois une ip de réseau interne, donc t'es pas sur la
> passerelle je pense que tu aurais une ip publique masqueradée.
>
> Premier paquet que tu donnes, mais je ne sais pas où tu en es dans la
> connexion, tu envoies une fermeture de connexion sur le serveur ftp avec
> un paquet qui possède un flag FIN (F)
>
> > 11:20:13.001382 ftpav.ca.com.ftp > 192.168.0.1.1125: . ack 161 win 65340
> > (DF)
> le serveur distant accepte la fermeture de connexion avec un ack
>
> > 11:20:27.838429 ftpav.ca.com.ftp > 192.168.0.1.1117: FP
> 0:53(53) ack 1 win
> > 65340 (DF)
> Et il ferme aussi en t'envoyant quelques bricoles de data.
>

Interressant et beaucoup plus clair que le man merci :)

> > Etant completement novice je me dis bon ok pour le port 1125 et
> 1117. (au
> > passage j'ouvre le port 20 et 21 en nat).
> Pourquoi ? Tu devrais faire de la doc sur le fonctionnement d'iptables.
>
> Le serveur ftp envoie des données du port 21 vers un port > 1024 en mode
> actif, et d'un port > 1024 vers un port > 1024 en mode passif. Le port
> 20 n'est qu'un port de commande.
>
> Donc il y a un problème au niveau de la transmission de ton AV au
> serveur ftp, dirais je, si tu nous donnes là le début du _dialogue_,
> puisque tu nous montre une terminaison de connexion.
>
> Il faudrait le début de la connexion, pour voir si quelque chose est
> initié.
>

voila ce que j'ai en globalité :

16:42 root@AldeDebian ~# tcpdump -i eth0 host ftpav.ca.com
tcpdump: listening on eth0
16:42:26.968225 192.168.0.1.1211 > ftpav.ca.com.ftp: S
4017219278:4017219278(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
16:42:27.217893 ftpav.ca.com.ftp > 192.168.0.1.1211: S
1087449675:1087449675(0) ack 4017219279 win 65340 <nop,nop,sackOK,mss 1452>
(DF)
16:42:27.218338 192.168.0.1.1211 > ftpav.ca.com.ftp: . ack 1 win 17424 (DF)
16:42:27.285282 ftpav.ca.com.ftp > 192.168.0.1.1211: P 1:67(66) ack 1 win
65340 (DF)
16:42:27.285794 192.168.0.1.1211 > ftpav.ca.com.ftp: P 1:17(16) ack 67 win
17358 (DF)
16:42:27.308539 ftpav.ca.com.ftp > 192.168.0.1.1211: . ack 17 win 65340 (DF)
16:42:27.308807 ftpav.ca.com.ftp > 192.168.0.1.1211: P 67:135(68) ack 17 win
65340 (DF)
16:42:27.309272 192.168.0.1.1211 > ftpav.ca.com.ftp: P 17:48(31) ack 135 win
17290 (DF)
16:42:27.332934 ftpav.ca.com.ftp > 192.168.0.1.1211: P 135:194(59) ack 48
win 65340 (DF)
16:42:27.446957 192.168.0.1.1211 > ftpav.ca.com.ftp: . ack 194 win 17231
(DF)
16:42:27.471922 ftpav.ca.com.ftp > 192.168.0.1.1211: P 194:228(34) ack 48
win 65340 (DF)
16:42:27.498065 192.168.0.1.1211 > ftpav.ca.com.ftp: P 48:56(8) ack 228 win
17197 (DF)
16:42:27.636970 ftpav.ca.com.ftp > 192.168.0.1.1211: P 228:244(16) ack 56
win 65340 (DF)
16:42:27.642966 192.168.0.1.1211 > ftpav.ca.com.ftp: P 56:80(24) ack 244 win
17181 (DF)
16:42:27.693091 ftpav.ca.com.ftp > 192.168.0.1.1211: P 244:274(30) ack 80
win 65340 (DF)
16:42:27.693653 192.168.0.1.1211 > ftpav.ca.com.ftp: P 80:120(40) ack 274
win 17151 (DF)
16:42:27.779539 ftpav.ca.com.ftp > 192.168.0.1.1211: P 274:283(9) ack 120
win 65340 (DF)
16:42:27.780290 192.168.0.1.1211 > ftpav.ca.com.ftp: P 120:160(40) ack 283
win 17142 (DF)
16:42:27.989326 ftpav.ca.com.ftp > 192.168.0.1.1211: . ack 160 win 65340
(DF)

je comprend plus rien ca change de port en permanence :(

> > #Ouverture pour download signature ETrust innoculated
> > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1183:20 -j
> > DNAT --to 192.168.0.1:20
> > iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j
> > ACCEPT
> oups oups oups.
> Lis le netfilter-HOWTO
> renseignes toi sur tcp.

vi vi petite correction :p

#Ouverture pour download signature ETrust innoculated
iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 20 -j DNAT --to
192.168.0.1:20
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 20 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 21 -j DNAT --to
192.168.0.1:21
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 21 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1113 -j
DNAT --to 192.168.0.1:1113
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1113 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1117 -j
DNAT --to 192.168.0.1:1117
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1117 -j
ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1119 -j
DNAT --to 192.168.0.1:1119
iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1119 -j
ACCEPT
Reply to: