Re: Régles iptables et ftp

To: debian-user-french@lists.debian.org
Subject: Re: Régles iptables et ftp
From: Thierry B <debian@thierry.eu.org>
Date: Tue, 24 Jan 2006 16:10:46 +0100
Message-id: <[🔎] 43D64376.3090505@thierry.eu.org>
In-reply-to: <[🔎] 43D6392B.3080903@mp342.org>
References: <[🔎] 43D6229E.3070906@laposte.net> <[🔎] 43D6392B.3080903@mp342.org>

Marc PERRUDIN a écrit :
> David Hannequin a écrit :
> 
>> Bonjour,
>>
>> J'ai un serveur ftp debian sarge derrière un firewall.
>> Internet ---------- Firewall ------------- Serveur ftp
>>
>> Je souhaite faire fonctionner iptables sur le serveur ftp. J'ai donc
>> écrit le script suivant :
>>
>> #!/bin/bash
>> modprobe ip_conntrack_ftp
>>
>> echo "On vide toutes les régles."
>> iptables -F
>> iptables -X
>> iptables -Z
>>
>> echo "On bloque tout par défaut"
>> iptables -P INPUT DROP
>> iptables -P OUTPUT DROP
>> iptables -P FORWARD DROP
>>
>> echo "On  autorise le trafic E/S sur l'interface de loopback"
>> iptables -A INPUT -i lo -j ACCEPT
>> iptables -A OUTPUT -o lo -j ACCEPT
>>
>> echo "On autorise le trafic en sortie de eth0"
>> iptables -A OUTPUT -o eth0 -j ACCEPT
>>
>> echo "On autorise le traffic en entrée de eth0 si il est déjà connu"
>> iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
>>
>> echo "On autorise le protocole FTP"
>> iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state
>> NEW,ESTABLISHED -j ACCEPT
>> iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state
>> ESTABLISHED -j ACCEPT
>>
>> iptables -A INPUT -i eth0 -p tcp --dport 20 -m state --state
>> ESTABLISHED,RELATED -j ACCEPT
>> iptables -A OUTPUT -o eth0 -p tcp --sport 20 -m state --state
>> ESTABLISHED -j ACCEPT
>>
>> iptables -A INPUT -i eth0 -p tcp --dport 1024:65535 -m state --state
>> ESTABLISHED,RELATED -j ACCEPT
>> iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 -m state --state
>> ESTABLISHED -j ACCEPT
>>
>> Mais je ne suis pas certain les régles iptables sont valides pour le
>> Serveur ftp.
>>
>> Est ce que vous pouvez me dire ce que vous en pensez ?
> 
> Si tu utilise le module state, ftp necessite seulement 2 regles:
> 
> echo "On autorise le protocole FTP"
> iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state
> NEW,ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 21 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> 
> C'est d'ailleurs l'interet de ce module, il permet de ne pas etre obligé
> d'ouvrir tous les ports au dessus de 1024 et le ftp-data entrant en
> permanence.
> 
> Au passage, si ton firewall est aussi sous iptables et que tu utilise un
> adressage privé derriere, n'oublie pas de charger le module ip_nat_ftp
> (sur le firewall) si tu veux que les 2 modes fonctionnent.
> 
> A+
> 
>> Cordialement
>>
> 
> 
Bonjour,
Il ne serait pas rpéférable du coté ftp, d'ouvrir seulement quelques
ports du genre 50000-50002, et de paramétrer le serveur ftp pour qu'il
utilise ces ports ci?
Ou justement l'interet ip_conntrack_ftp c'est de ne pas fixer de plages,
comme ca on est tranquille au niveau de la limite du nombre de
transferts simultannés en mode ftp passif ?

Merci
A+

Reply to:

Follow-Ups:
- Re: Régles iptables et ftp
  - From: Marc PERRUDIN <debianNOSPAM@mp342.org>

References:
- Régles iptables et ftp
  - From: David Hannequin <da.hannequin@laposte.net>
- Re: Régles iptables et ftp
  - From: Marc PERRUDIN <debianNOSPAM@mp342.org>

Prev by Date: compilation du noyau avec action du .config dans le menu
Next by Date: Re: compilation du noyau avec action du .config dans le menu
Previous by thread: Re: Régles iptables et ftp
Next by thread: Re: Régles iptables et ftp
Index(es):
- Date
- Thread