Re: iptable redirection ftp

To: debian-user-french@lists.debian.org
Subject: Re: iptable redirection ftp
From: "Pascal@plouf" <pascal.mail@plouf.fr.eu.org>
Date: Sat, 14 May 2005 18:03:14 +0200
Message-id: <[🔎] 42862142.1090107@plouf.fr.eu.org>
In-reply-to: <[🔎] 42860763.8000209@libertysurf.fr>
References: <[🔎] 42860763.8000209@libertysurf.fr>

Salut,

Troumad a écrit :

Je teste un transfert de ftp du style suivant :
iptables -t nat -A PREROUTING -j DNAT -i $NET -p TCP --dport 2211--to-destination 192.168.1.10:21

Tu risques d'avoir des ennuis si tu fais passer du FTP sur un port nonstandard.

Le problème est que les "ls", "get" ne passent pas :( Les pwd et cdpassent.

La différence est que les deux première commandes provoquent un transfertde données sur une connexion ftp-data en mode actif ou passif selon laconfiguration courante.

Il me semble alors que je doit aussi faire quelque chose auniveau du port 20, mais quoi ?


Rien de spécial au niveau du port 20.

ftp> get bashrc
local: bashrc remote: bashrc
200 PORT command successful
425 Unable to build data connection: Connection timed out


Commande PORT donc mode actif.

Rappel des faits (long, désolé):

En mode actif, le client envoie au serveur par la connexion de contrôle(port standard 21) une commande PORT avec son adresse et un port qu'ilouvre en écoute. Le serveur se connecte au client en utilisant l'adresseet le port destination fournis par ce dernier pour transférer les données(get, put, ls). Normalement le serveur utilise le port sourceimmédiatement inférieur au port de la connexion FTP de contrôle, donc leport 20 si la connexion de contrôle utilise le port FTP standard.

En mode passif, le client envoie au serveur une commande PASV, à laquellele serveur répond en envoyant son adresse et un numéro de port qu'ilouvre en écoute. Ce numéro de port dynamique n'est pas le port (FTP - 1).Ensuite le client se connecte au serveur en utilisant l'adresse et leport destination fournis par le serveur.

On comprend pourquoi le NAT sans précaution peut faire foirer leprotocole FTP. Les adresses publiques ne correspondent pas aux adresseséchangées dans les commandes PORT ou PASV, et les ports ne sont pasredirigés par le NAT.

En pratique, sans dispositions particulières sur le routeur NAT ou leserveur :

- client derrière un routeur NAT -> le mode actif ne marche pas
- serveur derrière un routeur NAT -> le mode passif ne marche pas

Et quand les deux sont chacun derrière un routeur NAT, je vous laissedeviner le carnage.

Le problème est connu depuis à peu près aussi longtemps que le NATexiste. Certains programmes serveurs FTP ont été adaptés pour pouvoirfonctionner en mode passif derrière un routeur NAT : en mode passif, ilsne fournissent pas leur propre adresse IP dans la réponse à la commandePASV du client mais l'adresse publique du routeur (obtenir cette adressepublique quand elle est dynamique est un autre problème). Il faut aussileur spécifier une plage de ports à utiliser pour les connexions dedonnées, et configurer le routeur NAT pour rediriger ces ports versl'adresse privée du serveur.

Une autre approche consiste pour le routeur NAT à surveiller le contenude la connexion FTP de contrôle, intercepter les adresses et ports descommands PORT ou PASV, et remplacer l'adresse privée par l'adressepublique et créer dynamiquement une redirection du port de la connexionde données. Le programme qui réalise cette tâche pour un protocole donné(FTP n'est pas le seul à avoir des problèmes avec NAT) est appelé un"helper". Dans le noyau Linux 2.4 ou 2.6, le helper NAT FTP associé àiptables est le module ip_nat_ftp qui a lui-même besoin du module desuivi de connexion FTP ip_conntrack_ftp.

Pour revenir à ton cas : en mode actif sur un serveur FTP NATé ça auraitdû passer, sauf si les connexions sortantes sont bloquées par le routeurNAT devant le serveur FTP ou un firewall installé sur la machine quihéberge le serveur, ou si le client FTP est lui-même derrière un routeurNAT qui ne gère pas le protocole FTP sur le port 2211. La plupart desrouteurs savent gérer le protocole FTP mais uniquement quand la connexionde contrôle utilise le port standard 21, et parfois aussi uniquementquand c'est le client qui est derrière le NAT.

Si le client est derrière un routeur NAT qui ne peut être configuré poursuivre le le protocole FTP sur le port 2211, il faut passer en modepassif. De plus, il faut configurer le routeur NAT du serveur FTP pourprendre en compte le procole FTP. Sous Linux, c'est faisable.

Comme je ne sais pas si le helper FTP intervient avant ou après le NATpour identifier une connexion FTP de contrôle, il vaut mieux spécifierles deux ports 21 et 2211. Par défaut, si on ne spécifie pas de liste deports, le helper surveille le port 21.


modprobe ip_conntrack_ftp ports=21,2211
modprobe ip_nat_ftp ports=21,2211

Le chargement des modules au démarrage peut être inscrit dans/etc/modules.conf au moyen de l'outil modconf.

Ensuite, il faut autoriser les connexions FTP de données entrantes quisont identifiées par le suivi de connexion de Netfilter comme liées auxconnexions établies. Soit dans une règle particulière :


iptables -A FORWARD -i $NET -m state --state RELATED -p tcp --syn \
   -j ACCEPT

On peut ajouter une restriction sur la plage de ports destinationutilisée par le serveur si elle est connue.


Soit dans la règle plus générale bien connue :

iptables -A FORWARD -i $NET -m state --state ESTABLISHED,RELATED \
   -j ACCEPT

Reply to:

Follow-Ups:
- Re: iptable redirection ftp
  - From: Troumad <troumad@libertysurf.fr>
- Re: iptable redirection ftp
  - From: Cyprien <cyprien33@laposte.spam.net>

References:
- iptable redirection ftp
  - From: Troumad <troumad@libertysurf.fr>

Prev by Date: Pas de son avec chipset Intel 82801CA/CAM AC'97 sous Sarge 2.6.11.8
Next by Date: Re: Script firewall au démarrage
Previous by thread: Re: iptable redirection ftp
Next by thread: Re: iptable redirection ftp
Index(es):
- Date
- Thread