Re: Régles iptables et ftp

To: debian-user-french@lists.debian.org
Subject: Re: Régles iptables et ftp
From: Marc PERRUDIN <debianNOSPAM@mp342.org>
Date: Tue, 24 Jan 2006 15:26:51 +0100
Message-id: <[🔎] 43D6392B.3080903@mp342.org>
Reply-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 43D6229E.3070906@laposte.net>
References: <[🔎] 43D6229E.3070906@laposte.net>

David Hannequin a écrit :

> Bonjour,
>
> J'ai un serveur ftp debian sarge derrière un firewall.
> Internet ---------- Firewall ------------- Serveur ftp
>
> Je souhaite faire fonctionner iptables sur le serveur ftp. J'ai donc
> écrit le script suivant :
>
> #!/bin/bash
> modprobe ip_conntrack_ftp
>
> echo "On vide toutes les régles."
> iptables -F
> iptables -X
> iptables -Z
>
> echo "On bloque tout par défaut"
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> echo "On  autorise le trafic E/S sur l'interface de loopback"
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> echo "On autorise le trafic en sortie de eth0"
> iptables -A OUTPUT -o eth0 -j ACCEPT
>
> echo "On autorise le traffic en entrée de eth0 si il est déjà connu"
> iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> echo "On autorise le protocole FTP"
> iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state
> NEW,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state
> ESTABLISHED -j ACCEPT
>
> iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state
> ESTABLISHED -j ACCEPT
>
> iptables -A INPUT -i eth0 -p tcp --dport 1024:65535 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -m state --state
> ESTABLISHED -j ACCEPT
>
> Mais je ne suis pas certain les régles iptables sont valides pour le
> Serveur ftp.
>
> Est ce que vous pouvez me dire ce que vous en pensez ?

Si tu utilise le module state, ftp necessite seulement 2 regles:

echo "On autorise le protocole FTP"
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state
ESTABLISHED,RELATED -j ACCEPT

C'est d'ailleurs l'interet de ce module, il permet de ne pas etre obligé
d'ouvrir tous les ports au dessus de 1024 et le ftp-data entrant en
permanence.

Au passage, si ton firewall est aussi sous iptables et que tu utilise un
adressage privé derriere, n'oublie pas de charger le module ip_nat_ftp
(sur le firewall) si tu veux que les 2 modes fonctionnent.

A+

>
> Cordialement
>

Reply to:

Follow-Ups:
- Re: Régles iptables et ftp
  - From: Thierry B <debian@thierry.eu.org>

References:
- Régles iptables et ftp
  - From: David Hannequin <da.hannequin@laposte.net>

Prev by Date: Re: [Résolu] Re: Asus K8N probléme ethernet lors de l'installation de Sarge.
Next by Date: Re: [Résolu] Re: Asus K8N probléme ethernet lors de l'installation de Sarge.
Previous by thread: Régles iptables et ftp
Next by thread: Re: Régles iptables et ftp
Index(es):
- Date
- Thread