[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables et ftp



iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

maintenant, nous acceptons touts les paquets entrant, en relation avec une connexion déjà établie ou une nouvelle connexion liée à une connexion déjà établie




PII 233 wrote:

Bonjour,

existe-t-il un howto pour configurer iptables correctement
pour gérer une connexion ftp cliente ?
Le serveur ftp distant essaye de se connecter sur un port
au hasard et est toujours bloqué.
Il y a visiblement des modules liés à ce problème (ip_conntrack_ftp),
mais je ne vois aucune mise en oeuvre pratique, aucun exemple
qui puisse permettre de savoir si j'ai réellement besoin de ce module,
et comment configurer iptables proprement en conséquence.

Les paquets bloqués ont cette forme :
Dec 18 14:13:35 host kernel: IN=eth0 OUT= MAC=@mac SRC=IP_distante DST=192.168.N.M LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=21 DPT=49198 WINDOW=5792 RES=0x00 ACK SYN URGP=0

En fait, le problème n'est pas forcément lié à ftp, d'ailleurs, il est
le même lorsqu'un serveur SMTP est sollicité par le serveur local
(très rarement utilisé) :

les paquets droppés :

là, les flags sont différents de ceux du paquet précédent (pas de ACK SYN, mais un RST)
Dec 18 14:16:53 host kernel: IN=eth0 OUT= MAC=@mac SRC=IP_distante DST=192.168.N.M LEN=40 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=TCP SPT=25 DPT=49195 WINDOW=0 RES=0x00 RST URGP=0

Ici, c'est comme pour ftp :
Dec 18 14:28:23 host kernel: IN=eth0 OUT= MAC=@mac SRC=IP_distante DST=192.168.N.M LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=49207 WINDOW=5792 RES=0x00 ACK SYN URGP=0

Toute aide est appréciée pour que je comprenne comment ça marche
réellement et que je puisse ouvrir les accès dans ces cas précis.
Merci !




Reply to: