pas de ftp dans le LAN iptables

pas de ftp dans le LAN iptables - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 10-09-2006 à 00:25:38    

bonjour,
 
je galère dur, je n'ai pas d'accès au ftp en tant que client à partir de mon LAN.
 
les modules suivant sont chargés
 
lsmod |grep ftp
ip_nat_ftp 2272 0
iptable_nat 19060 3 ipt_MASQUERADE,ip_nat_ftp
ip_conntrack_ftp 71344 1 ip_nat_ftp
ip_conntrack 37400 5 ipt_MASQUERADE,ipt_state,ip_nat_ftp,iptable_nat,ip_conntrack_ftp
 
et mes règles iptables sur la passerelle:

Code :
  1. [root@ordiyo lionel]# iptables-save
  2. # Generated by iptables-save v1.2.9 on Sun Sep 10 00:18:00 2006
  3. *filter
  4. :INPUT DROP [0:0]
  5. :FORWARD DROP [0:0]
  6. :OUTPUT DROP [0:0]
  7. -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j DROP
  8. -A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP
  9. -A INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP
  10. -A INPUT -s 255.255.255.255 -i eth0 -j DROP
  11. -A INPUT -i lo -j ACCEPT
  12. -A INPUT -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -i eth2 -j ACCEPT
  13. -A INPUT -s 200.33.220.206 -i eth0 -j ULOG
  14. -A INPUT -s 200.33.220.206 -i eth0 -j DROP
  15. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  16. -A INPUT -s 212.27.38.253 -i eth0 -p udp -m udp --dport 1024:65535 -j ACCEPT
  17. -A INPUT -s 212.27.38.253 -i eth0 -p tcp -m tcp --dport 1024:65535 -j ACCEPT
  18. -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ULOG
  19. -A INPUT -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
  20. -A INPUT -i eth0 -p tcp -m tcp --dport 6891:6892 -j ACCEPT
  21. -A INPUT -i eth0 -p tcp -m tcp --dport 6891:6892 -j ULOG
  22. -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
  23. -A INPUT -p icmp -m state --state NEW -m limit --limit 10/min -j ACCEPT
  24. -A INPUT -j DROP
  25. -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth2 -o eth0 -p tcp -m tcp ! --sport 80 -j ACCEPT
  26. -A FORWARD -d 192.168.0.0/255.255.255.0 -i eth0 -o eth2 -p tcp -m tcp ! --dport 80 -j ACCEPT
  27. -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  28. -A FORWARD -j DROP
  29. -A OUTPUT -o lo -j ACCEPT
  30. -A OUTPUT -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o eth2 -j ACCEPT
  31. -A OUTPUT -d 200.33.220.206 -o eth0 -j ULOG
  32. -A OUTPUT -d 200.33.220.206 -o eth0 -j DROP
  33. -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  34. -A OUTPUT -d 212.27.38.253 -o eth0 -p udp -m udp --dport 1024:65535 -j ACCEPT
  35. -A OUTPUT -o eth0 -p udp -m udp --dport 554 -j ACCEPT
  36. -A OUTPUT -o eth0 -p tcp -m tcp --dport 554 -j ACCEPT
  37. -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
  38. -A OUTPUT -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT
  39. -A OUTPUT -o eth0 -p udp -m udp --dport 67 -j ACCEPT
  40. -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
  41. -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
  42. -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
  43. -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
  44. -A OUTPUT -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
  45. -A OUTPUT -o eth0 -p tcp -m tcp --dport 1441 -j ACCEPT
  46. -A OUTPUT -o eth0 -p tcp -m tcp --dport 1755 -j ACCEPT
  47. -A OUTPUT -o eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
  48. -A OUTPUT -o eth0 -p tcp -m tcp --dport 1863 -j ACCEPT
  49. -A OUTPUT -o eth0 -p tcp -m tcp --dport 6891:6892 -j ACCEPT
  50. -A OUTPUT -o eth0 -p tcp -m tcp --dport 6891:6892 -j ULOG
  51. -A OUTPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  52. -A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT
  53. -A OUTPUT -j DROP
  54. COMMIT
  55. # Completed on Sun Sep 10 00:18:00 2006
  56. # Generated by iptables-save v1.2.9 on Sun Sep 10 00:18:00 2006
  57. *mangle
  58. :PREROUTING ACCEPT [2:96]
  59. :INPUT ACCEPT [2:96]
  60. :FORWARD ACCEPT [0:0]
  61. :OUTPUT ACCEPT [0:0]
  62. :POSTROUTING ACCEPT [0:0]
  63. COMMIT
  64. # Completed on Sun Sep 10 00:18:00 2006
  65. # Generated by iptables-save v1.2.9 on Sun Sep 10 00:18:00 2006
  66. *nat
  67. :PREROUTING ACCEPT [2:96]
  68. :POSTROUTING ACCEPT [0:0]
  69. :OUTPUT ACCEPT [0:0]
  70. -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth0 -j MASQUERADE
  71. COMMIT
  72. # Completed on Sun Sep 10 00:18:00 2006


 
 
 
 
par contre je passe par squid et sur firefox en précissant :3128 pour le ftp ça passe??
 
là je sèche.
 
merci lionel

Reply

Marsh Posté le 10-09-2006 à 00:25:38   

Reply

Marsh Posté le 12-09-2006 à 21:11:49    

personne ne peut m'aider?

Reply

Marsh Posté le 14-09-2006 à 20:41:58    

j'essaie d'etre plus clair  ;)  
 
 
internet----freebox ---- linux (passerelle) --------------- seconde machine (avec double boot XP et linux)
 
sur la passerelle (eth0: IP fixe eth2: 192.168.0.1 avec IPTABLES et SQUID
 
sur la seconde machine (eth0 192.168.0.2 et pas de firewall
 
 
 
 
voilà ma config
 
j'ai une règle dans iptables qui me permet de forcer le passage par squid pour internet
 
iptables -t filter -A FORWARD -i eth2 -o eth0 -s 192.168.0.0/24 -p tcp --sport ! 80 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
 
iptables -t filter -A FORWARD -i eth0 -o eth2 -s 0.0.0.0/0 -d 192.168.0.0/24 -p tcp --dport ! 80 -m state --state ! INVALID -j ACCEPT
 
cette règle oblige à passer par le proxy squid pour internet puisse qu'elle interdit le port 80 en FORWARD (sans doute du bricolage mais ça marche) c'est pratique pour controler les sites pour mes enfants ainsi que certaines heures de connexion autorisées.
 
par contre si je n'ajoute pas plus bas dans mon script
 
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
 
et bien je ne peux pas avoir accès à ma messagerie via thunderbird???
 
Et une session FTP lancé de ma 2ème machine ne passe pas (sujet du post) et ce même si je vire ma règle bricolée et que je FORWARD tous avec
 
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 
je mets mon fichier iptables:
 

Code :
  1. #!/bin/sh
  2. #
  3. ###############################################################################
  4. # NOM: regles-iptables.sh
  5. #
  6. ###############################################################################
  8. # Initialisation de la table MANGLE
  9. iptables -t mangle -F
  10. iptables -t mangle -X
  11. iptables -t mangle -P PREROUTING  ACCEPT
  12. iptables -t mangle -P INPUT       ACCEPT
  13. iptables -t mangle -P OUTPUT      ACCEPT
  14. iptables -t mangle -P FORWARD     ACCEPT
  15. iptables -t mangle -P POSTROUTING ACCEPT
  17. # Suppression de toutes les chaînes pré-définies de la table FILTER
  18. iptables -t filter -F
  20. # Suppression de toutes les chaînes utilisateur de la table FILTER
  21. iptables -t filter -X
  23. # Par defaut, toute les paquets de la table FILTER sont détruits
  24. iptables -t filter -P INPUT DROP
  25. iptables -t filter -P OUTPUT DROP
  26. iptables -t filter -P FORWARD DROP
  28. # refuse les connexions extérieurs pour les adresses internes au reseau
  30. iptables -t filter -A INPUT  -i eth0 -s 192.168.0.0/24 -j DROP
  31. iptables -t filter -A INPUT  -i eth0 -s 127.0.0.0/8 -j DROP
  32. iptables -t filter -A INPUT  -i eth0 -s 10.0.0.0/8 -j DROP
  33. iptables -t filter -A INPUT  -i eth0 -s 255.255.255.255 -j DROP
  35. # AntiSpoofing
  36. echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
  38. # SYN flooding
  39. echo 1 > /proc/sys/net/ipv4/tcp_syncookies
  41. # log les connexionx suspectes
  42. echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
  44. # Autorise l'interface loopback à dialoguer avec elle-même
  45. iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
  46. iptables -t filter -A INPUT  -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
  48. iptables -t filter -A OUTPUT -o eth2 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
  49. iptables -t filter -A INPUT  -i eth2 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
  52. ################################################################################
  53. # IP masquerading
  54. ################################################################################
  56. # Suppression de toutes les chaînes pré-définies de la table NAT
  57. iptables -t nat -F
  59. # Suppression de toutes les chaînes utilisateur de la table NAT
  60. iptables -t nat -X
  62. # Par defaut, toute les paquets de la table NAT sont ACCEPTES
  63. iptables -t nat -P PREROUTING  ACCEPT
  64. iptables -t nat -P POSTROUTING ACCEPT
  65. iptables -t nat -P OUTPUT      ACCEPT
  67. # Activation du NAT dans le kernel
  68. echo 1 > /proc/sys/net/ipv4/ip_forward
  70. # Autorise les paquet à aller d'une interface réseau à l'autre
  72. iptables -t filter -A FORWARD -i eth2 -o eth0 -s 192.168.0.0/24 -p tcp --sport ! 80 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
  74. iptables -t filter -A FORWARD -i eth0 -o eth2 -s 0.0.0.0/0 -d 192.168.0.0/24 -p tcp --dport ! 80 -m state --state ! INVALID -j ACCEPT
  76. # Demande à la table NAT de modifier les paquets sortants
  77. iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
  79. ################################################################################
  80. # sécurité passerelle
  81. ################################################################################
  83. # on autorise toutes les connexionx établies ou relatives (ftp)
  84. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  85. iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  86. iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
  88. # free TV ports RTSP
  90. iptables -A INPUT -i eth0 -p udp --dport 1024:65535 -s 212.27.38.253 -j ACCEPT
  91. iptables -A OUTPUT -o eth0 -p udp --dport 1024:65535 -d 212.27.38.253 -j ACCEPT
  92. iptables -A OUTPUT -o eth0 -p udp --dport 554 -j ACCEPT
  93. iptables -A INPUT -i eth0 -p tcp --dport 1024:65535 -s 212.27.38.253 -j ACCEPT
  94. iptables -A OUTPUT -o eth0 -p tcp --dport 554 -j ACCEPT
  96. # résolution de nom
  97. iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
  98. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT
  100. # DHCP
  101. iptables -A OUTPUT -o eth0 --protocol udp --destination-port 67 -j ACCEPT
  103. # http
  104. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 80 -j ACCEPT
  106. #https
  107. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 443 -j ACCEPT
  109. # pop3
  110. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 110 -j ACCEPT
  112. # smtp
  113. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 25 -j ACCEPT
  115. # ftp
  116. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 21 -j ACCEPT
  117. #section serveur FTP
  118. iptables -A INPUT -i eth0 --protocol tcp --destination-port 21 -j ULOG
  119. iptables -A INPUT -i eth0 --protocol tcp --destination-port 21 -j ACCEPT
  122. #connexion radio et macromedia
  123. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 1441 -j ACCEPT
  124. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 1755 -j ACCEPT
  126. # proxy
  127. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 8080 -j ACCEPT
  129. # amsn le port 6891 6892 etc permette le transfert de fichier
  131. iptables -A OUTPUT -o eth0 -p tcp --dport 1863 -j ACCEPT
  133. iptables -A INPUT -i eth0 -p tcp --dport 6891:6892 -j ACCEPT
  134. iptables -A OUTPUT -o eth0 -p tcp --dport 6891:6892 -j ACCEPT
  136. iptables -A INPUT -i eth0 -p tcp --dport 6891:6892 -j ULOG
  137. iptables -A OUTPUT -o eth0 -p tcp --dport 6891:6892 -j ULOG
  140. #Ping
  141. iptables -A OUTPUT -p icmp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
  142. iptables -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
  143. iptables -A INPUT -p icmp -m state --state NEW -m limit --limit 10/min -j ACCEPT
  145. # NTPD (synchro tps avec internet)
  147. iptables -A OUTPUT -o eth0 --protocol udp --destination-port 123 -j ACCEPT
  149. iptables -A INPUT -j DROP
  150. iptables -A OUTPUT -j DROP
  151. iptables -A FORWARD -j DROP
  153. iptables -L -n -v >/tmp/iptables
  154. cut -c12- /tmp/iptables > /root/iptables
  155. rm -f /tmp/iptables
  157. echo "terminé"


 
 
 
 
en espérant une aide
 
lionel
 
 
 
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed