Re: Régles iptables et ftp
Thierry B a écrit :
>Marc PERRUDIN a écrit :
>
>
>>
>>Si tu utilise le module state, ftp necessite seulement 2 regles:
>>
>>echo "On autorise le protocole FTP"
>>iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state
>>NEW,ESTABLISHED,RELATED -j ACCEPT
>>iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state
>>ESTABLISHED,RELATED -j ACCEPT
>>
>>C'est d'ailleurs l'interet de ce module, il permet de ne pas etre obligé
>>d'ouvrir tous les ports au dessus de 1024 et le ftp-data entrant en
>>permanence.
>>
>>Au passage, si ton firewall est aussi sous iptables et que tu utilise un
>>adressage privé derriere, n'oublie pas de charger le module ip_nat_ftp
>>(sur le firewall) si tu veux que les 2 modes fonctionnent.
>>
>>A+
>>
>>
>>
>>
>Bonjour,
>Il ne serait pas rpéférable du coté ftp, d'ouvrir seulement quelques
>ports du genre 50000-50002, et de paramétrer le serveur ftp pour qu'il
>utilise ces ports ci?
>Ou justement l'interet ip_conntrack_ftp c'est de ne pas fixer de plages,
>comme ca on est tranquille au niveau de la limite du nombre de
>transferts simultannés en mode ftp passif ?
>
>
On peut en effet limiter le nombre de port ouverts mais le probleme
reste: il y a des ports ouvert en permanence. Le module ip_conntrack_ftp
permet d'eviter d'avoir des ports ouverts en permanence, le module se
charge d'ouvrir seulement les ports utilisés et uniquement pendant
qu'ils sont utilisés.
Un des interets de cette facon de fonctionner est d'eviter qu'en cas
d'attaque réussi sur le système, le pirate puisse tranquillement mettre
des demons en ecoutent sur les ports ouverts, il doit obligatoirement
obtenir des privileges élevés (root) pour pouvoir faire ce genre d'action.
A+
>Merci
>A+
>
>
>
>
Reply to: