Re: prob ftp avec iptables

To: debian-user-french@lists.debian.org
Subject: Re: prob ftp avec iptables
From: Franck Joncourt <joncourt_franck@yahoo.co.uk>
Date: Fri, 16 Feb 2007 20:48:36 +0100
Message-id: <[🔎] 45D60A94.1060605@yahoo.co.uk>
In-reply-to: <[🔎] 200702161428.00825.mic.grentz@online.fr>
References: <[🔎] 2d6f58bf0702151117w34bc159dkc421eb4fbe5f4927@mail.gmail.com> <[🔎] 200702160946.34419.mic.grentz@online.fr> <[🔎] 45D577D8.4000207@plouf.fr.eu.org> <[🔎] 200702161428.00825.mic.grentz@online.fr>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Michel Grentzinger wrote:
> Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
>> Michel Grentzinger a écrit :
>>>>> Petite variante pour l'état ESTABLISHED :
>>>>> http://lists.debian.org/debian-user-french/2002/06/msg01183.html
>>>> Quelle variante ? Par rapport à quoi ?
>>> Pas besoin de NEW pour l'état RELATED en ftp.
>> Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
>> n'a pas fallu l'accepter ?
> 
> Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la 
> question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur 
> fr.comp.securite :
> ==  CITATION  ============================================
> 
> Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion
> attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne
> peut avoir l'etat ESTABLISHED que si une connexion est deja active.
> 
> Dans notre cas, le paquet qui ouvre cette connexion part du client et a
> l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour
> cela que la regle en -i ppp0 ne porte que les ESTABLISHED.
> 
>> Comment est ouvert une connexion en FTP passif ? Apparement, il 
>> n'y a pas de paquet marqué NEW dans ce cas...si ?
> 
> C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation
> qui sert a l'etablissement de la connexion de donnees. Quand il la
> repere, il en lit les parametres et prepare un etat pour la prendre en
> charge. Des lors, le paquet d'initiation de cette connexion ne sera pas
> NEW, mais RELATED, parce que correspondant a un etat attendu.
> 
> ==  FIN DE CITATION  ========================================
> 
> L'échange complet est ici :
> http://groups.google.fr/group/fr.comp.securite/browse_thread/thread/45bb81b2cc2372ef?hl=fr
> 
> 

Pour moi, comme je le mentionnais, il est mis en avant que la connexion
sur le data channel ne genere pas d'etat NEW, mais un etat RELATED qui
est lie a la connexion sur le port 21 en ESTABLISHED.
Quant aux connexions sur le port 21 la premiere est dans l'etat NEW, et
toutes les autres dans l'etat ESTABLISHED.

Je ne vois rien d'etrange dans le comportement.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF  9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFF1gqCxJBTTnXAif4RAjhLAKDDrMEKG/SGmgdnqbMIWn+I/5SgkwCeKZou
7mP1dcInU9OcxI9hJaBLpcw=
=IMNj
-----END PGP SIGNATURE-----

		
___________________________________________________________ 
To help you stay safe and secure online, we've developed the all new Yahoo! Security Centre. http://uk.security.yahoo.com

Reply to:

References:
- prob ftp avec iptables
  - From: "deb ian" <debian70@gmail.com>
- Re: prob ftp avec iptables
  - From: Michel Grentzinger <mic.grentz@online.fr>
- Re: prob ftp avec iptables
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: prob ftp avec iptables
  - From: Michel Grentzinger <mic.grentz@online.fr>

Prev by Date: Re: contrôle parental: squid + squidguard
Next by Date: Re: [etch] bootsplash...
Previous by thread: Re: prob ftp avec iptables
Next by thread: Re: prob ftp avec iptables
Index(es):
- Date
- Thread