Re: iptables et ftp

To: Debian User French <debian-user-french@lists.debian.org>
Subject: Re: iptables et ftp
From: daniel huhardeaux <daniel.huhardeaux@tootai.com>
Date: Thu, 18 Dec 2003 14:57:46 +0100
Message-id: <[🔎] 3FE1B25A.8070301@tootai.com>
In-reply-to: <[🔎] 312846590.677366863.18122003.143145@smtp.renan.org>
References: <[🔎] 312846590.677366863.18122003.143145@smtp.renan.org>

PII 233 wrote:

Bonjour,

existe-t-il un howto pour configurer iptables correctement
pour gérer une connexion ftp cliente ?

ftp=port 21

Le serveur ftp distant essaye de se connecter sur un port
au hasard et est toujours bloqué.

serveur ftp qui essaye de se connecter = client ftp = port 21

Il y a visiblement des modules liés à ce problème (ip_conntrack_ftp),
mais je ne vois aucune mise en oeuvre pratique, aucun exemple
qui puisse permettre de savoir si j'ai réellement besoin de ce module,
et comment configurer iptables proprement en conséquence.

Les paquets bloqués ont cette forme :
Dec 18 14:13:35 host kernel: IN=eth0 OUT= MAC=@mac SRC=IP_distante DST=192.168.N.M LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=21 DPT=49198 WINDOW=5792 RES=0x00 ACK SYN URGP=0

ici, sur ton interface eth0, le client essaye de ... je ne sais pasparceque IP_distante represente quoi? elle ne peut etre que de la forme192.168.N.tout sauf M Parceque s'il s'agit d'une IP public, commentarrive t'elle sur une iP privee? En tout cas le source port correspond adu ftp.

En fait, le problème n'est pas forcément lié à ftp, d'ailleurs, il est
le même lorsqu'un serveur SMTP est sollicité par le serveur local
(très rarement utilisé) :

Meme chose: SMTP = port 25

les paquets droppés :

là, les flags sont différents de ceux du paquet précédent (pas de ACK SYN, mais un RST)
Dec 18 14:16:53 host kernel: IN=eth0 OUT= MAC=@mac SRC=IP_distante DST=192.168.N.M LEN=40 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=TCP SPT=25 DPT=49195 WINDOW=0 RES=0x00 RST URGP=0

Ici, c'est comme pour ftp :
Dec 18 14:28:23 host kernel: IN=eth0 OUT= MAC=@mac SRC=IP_distante DST=192.168.N.M LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=0 DF PROTO=TCP SPT=25 DPT=49207 WINDOW=5792 RES=0x00 ACK SYN URGP=0

Toute aide est appréciée pour que je comprenne comment ça marche
réellement et que je puisse ouvrir les accès dans ces cas précis.
Merci !

Tout depend de ton adresse source IP (classe) masquee ci-dessus. Un trucdu style


$IPTABLES -A input -I $EXTERNAL_DEVICE -s 0.0.0.0/0 --dport 21 -j accept

accepte les connections sur le port 21 de ton interface internet,quelqu'en soit la source.


--
:  ______ ______ ______ ______ ______ __  daniel.huhardeaux@tootai.com
: /_____// __  // __  //_____// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax....: +48 32 285 5276
: /_/  /_____//_____/  /_/  /_/ /_//_/ mobile..: +48 602 284 546

Reply to:

References:
- iptables et ftp
  - From: PII 233 <pii233@free.fr>

Prev by Date: Re: iptables et ftp
Next by Date: Re: problème de souris au changement de kernel
Previous by thread: Re: iptables et ftp
Next by thread: Re: iptables et ftp (1/2)
Index(es):
- Date
- Thread