Re: iptables et ftp/tls
Salut,
David Hannequin a écrit :
J'ai configuré vsftpd pour utiliser tls mais le serveur ftp sont
derrière un firewall(iptables). Le firewall empéche de les connexions
depuis l'extérieur de s'établir avec tls. Le ftp fonctionne trés bien
en local.
J'ai bien fowarder les ports 20 et 21 sur l'adresse ip de la machine ou
se trouve le ftp et ip_contrack_ftp est bien chargé.
Comme d'autres l'ont déjà expliqué, le chiffrage complet du contenu de
la connexion de contrôle (port 21) empêche le suivi de connexion de
Netfilter de prendre connaissance des caractéristiques des connexions de
données (transmises par les commandes PASV/EPSV et PORT/EPRT) à classer
comme RELATED, et de modifier le couple adresse/port transmis en cas de NAT.
Qu'est ce qu'il faut faire pour le firewall ?
Pour faire fonctionner les transferts en mode actif (connexion établie
dans le sens serveur -> client), il suffit normalement d'accepter et le
cas écheant de NATer/MASQer toute connexion sortante émise à partir du
port source 20 (ftp-data).
Pour les transferts en mode passif (connexion établie dans le sens
client -> serveur), c'est plus délicat. Il faut voir au niveau de vsftpd
si celui-ci permet de restreindre les ports à utiliser pour les
connexions de données à une plage donnée, et ouvrir/rediriger cette
plage de ports dans le firewall. D'autre part, si le serveur est NATé,
il faut pouvoir spécifier dans la configuration de vsftpd l'adresse
publique à transmettre. Ne connaissant pas vsftpd, je ne saurais dire si
tout cela est faisable.
Le mode FTP passif est dit "firewall friendly", mais ce n'est vrai que
si on se place côté client. Côté serveur, c'est tout le contraire !
Alternativement, utiliser SFTP/SSH à la place de FTP/TSL.
Reply to: