Re: iptables et ftp/tls

To: debian-user-french@lists.debian.org
Subject: Re: iptables et ftp/tls
From: Marc PERRUDIN <debianNOSPAM@mp342.org>
Date: Mon, 07 Nov 2005 11:16:06 +0100
Message-id: <[🔎] 436F2966.30207@mp342.org>
In-reply-to: <[🔎] 200511070842.16698.jerome.schneider@gmail.com>
References: <[🔎] 436CDAB8.8030602@educagri.fr> <[🔎] 200511070842.16698.jerome.schneider@gmail.com>

Jérôme Schneider a écrit :

>Le Samedi 5 Novembre 2005 17:15, David Hannequin a écrit :
>  
>
>>Bonjour,
>>
>>J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont
>>derrière un firewall(iptables). Le firewall empéche de les connexions
>>depuis l'extérieur de s'établir avec tls.  Le ftp fonctionne trés bien
>>en local.
>>    
>>
>Tu a surement des règles plus permissives pour le réseau local.
>
>  
>
>>J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou
>>se trouve le ftp et ip_contrack_ftp  est bien chargé.
>>    
>>
>
>Il faut également charger ip_nat_ftp si tu utilise NAT.
>  
>
>>Qu'est ce qu'il faut faire pour le firewall ?
>>    
>>
>Je ne peux malheuresement pas te répondre car j'ai le même problème : le ftp 
>passe très bien en claire (en passif et actif) depuis l'extérieur, mais dès 
>que j'utilise le TLS ça ne marche plus (le mode passif et actif bloque). 
>Visiblement contrack_ftp ne marche pas lorsque le ftp est en TLS ou SSL.
>Ce que j'ai lu semble le confirmer, c'est visiblement un bug connu depuis 
>longtemps (c'était des mails de 2004).
>  
>
Je ne pense pas que se soit un bug. En effet, ip_contrack_ftp et
ip_nat_ftp fonctionnent de la meme facon: ils analysent le contenu des
commandes qui passent par le canal de control. Par definition, TLS
encrypte ce canal, les modules ip_contrack_ftp et ip_nat_ftp ne peuvent
donc plus se servir de ce canal pour determiner les ports data a ouvrir
et encore moins réécrire les commandes dans la cas de ip_nat_ftp.

>Bref je ne sais pas quoi faire soit passer en claire, soit mettre des règles 
>iptables permissives. Enfin il existe peut être une solution pour contourner 
>ce problème, sans avoir des règles iptables trop laxiste.
>  
>
Les seules solutions possibles sont du type proxy. J'ai deja vu des
solutions de ce type pour https: un proxy intercepte les sessions HTTPS
et c'est le proxy qui ouvre la session TLS avec le serveur, c'est un
genre de man in the middle mais légale. Enfin, je n'ai jamais mis en
place des solutions de ce type, dans la pratique l'aspect légal de la
solution ne doit pas etre si evident car il faut reconfigurer les
clients pour qu'ils ne se plaignent pas du fait que se sont les proxys
qui attablissent la session TLS et non le serveur distant.

>++
>
>Jérôme
>
>  
>

Reply to:

References:
- iptables et ftp/tls
  - From: David Hannequin <david.hannequin@educagri.fr>
- Re: iptables et ftp/tls
  - From: Jérôme Schneider <jerome.schneider@gmail.com>

Prev by Date: RE: [SAMBA] Pb fichier Mdb
Next by Date: Re: Problème avec le DMA
Previous by thread: Re: iptables et ftp/tls
Next by thread: Re: iptables et ftp/tls
Index(es):
- Date
- Thread