Re: Régles iptables et ftp

To: debian-user-french@lists.debian.org
Subject: Re: Régles iptables et ftp
From: Thierry B <thierry@thierry.eu.org>
Date: Tue, 24 Jan 2006 18:48:50 +0100
Message-id: <[🔎] 43D66882.2020502@thierry.eu.org>
In-reply-to: <[🔎] 43D6498E.1050208@mp342.org>
References: <[🔎] 43D6229E.3070906@laposte.net> <[🔎] 43D6392B.3080903@mp342.org> <[🔎] 43D64376.3090505@thierry.eu.org> <[🔎] 43D6498E.1050208@mp342.org>

Marc PERRUDIN a écrit :
> Thierry B a écrit :
> 
>> Marc PERRUDIN a écrit :
>>  
>>
>>> Si tu utilise le module state, ftp necessite seulement 2 regles:
>>>
>>> echo "On autorise le protocole FTP"
>>> iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state
>>> NEW,ESTABLISHED,RELATED -j ACCEPT
>>> iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state
>>> ESTABLISHED,RELATED -j ACCEPT
>>>
>>> C'est d'ailleurs l'interet de ce module, il permet de ne pas etre obligé
>>> d'ouvrir tous les ports au dessus de 1024 et le ftp-data entrant en
>>> permanence.
>>>
>>> Au passage, si ton firewall est aussi sous iptables et que tu utilise un
>>> adressage privé derriere, n'oublie pas de charger le module ip_nat_ftp
>>> (sur le firewall) si tu veux que les 2 modes fonctionnent.
>>>
>>> A+
>>>
>>>    
>>>
>>>
>> Bonjour,
>> Il ne serait pas rpéférable du coté ftp, d'ouvrir seulement quelques
>> ports du genre 50000-50002, et de paramétrer le serveur ftp pour qu'il
>> utilise ces ports ci?
>> Ou justement l'interet ip_conntrack_ftp c'est de ne pas fixer de plages,
>> comme ca on est tranquille au niveau de la limite du nombre de
>> transferts simultannés en mode ftp passif ?
>>  
>>
> On peut en effet limiter le nombre de port ouverts mais le probleme
> reste: il y a des ports ouvert en permanence. Le module ip_conntrack_ftp
> permet d'eviter d'avoir des ports ouverts en permanence, le module se
> charge d'ouvrir seulement les ports utilisés et uniquement pendant
> qu'ils sont utilisés.
> Un des interets de cette facon de fonctionner est d'eviter qu'en cas
> d'attaque réussi sur le système, le pirate puisse tranquillement mettre
> des demons en ecoutent sur les ports ouverts, il doit obligatoirement
> obtenir des privileges élevés (root) pour pouvoir faire ce genre d'action.
> 
> A+
> 
>> Merci
>> A+
>>
>>
>>  
>>
> 
> 
Ok merci.

Case passe comment en fait exactement en ftp passif ?

Le client se connecte sur le port 21 du serveur, et ensuite le serveur
renvoie une réponse pour signaler au client, le port qu'il a choisi, et
enfin, le client établit le transfert sur ce port ?

Merci :-)
A+

Reply to:

Follow-Ups:
- Re: Régles iptables et ftp
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- Régles iptables et ftp
  - From: David Hannequin <da.hannequin@laposte.net>
- Re: Régles iptables et ftp
  - From: Marc PERRUDIN <debianNOSPAM@mp342.org>
- Re: Régles iptables et ftp
  - From: Thierry B <debian@thierry.eu.org>
- Re: Régles iptables et ftp
  - From: Marc PERRUDIN <debianNOSPAM@mp342.org>

Prev by Date: plugin vlc pour mozilla
Next by Date: Re: Définition du spam par l'utilisateur
Previous by thread: Re: Régles iptables et ftp
Next by thread: Re: Régles iptables et ftp
Index(es):
- Date
- Thread