[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: prob ftp avec iptables



Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
> Michel Grentzinger a écrit :
> >>>Petite variante pour l'état ESTABLISHED :
> >>>http://lists.debian.org/debian-user-french/2002/06/msg01183.html
> >>
> >>Quelle variante ? Par rapport à quoi ?
> >
> > Pas besoin de NEW pour l'état RELATED en ftp.
>
> Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
> n'a pas fallu l'accepter ?

Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la 
question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur 
fr.comp.securite :
==  CITATION  ============================================

Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion
attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne
peut avoir l'etat ESTABLISHED que si une connexion est deja active.

Dans notre cas, le paquet qui ouvre cette connexion part du client et a
l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour
cela que la regle en -i ppp0 ne porte que les ESTABLISHED.

> Comment est ouvert une connexion en FTP passif ? Apparement, il 
> n'y a pas de paquet marqué NEW dans ce cas...si ?

C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation
qui sert a l'etablissement de la connexion de donnees. Quand il la
repere, il en lit les parametres et prepare un etat pour la prendre en
charge. Des lors, le paquet d'initiation de cette connexion ne sera pas
NEW, mais RELATED, parce que correspondant a un etat attendu.

==  FIN DE CITATION  ========================================

L'échange complet est ici :
http://groups.google.fr/group/fr.comp.securite/browse_thread/thread/45bb81b2cc2372ef?hl=fr


-- 
Michel Grentzinger
	OpenPGP key ID : B2BAFAFA
		Available on http://www.keyserver.net



Reply to: