[Iptables] Config de ftp (résolu)

Config de ftp (résolu) [Iptables] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 20-03-2006 à 16:33:21    

Bonjour, j'ai quelques petits problèmes de configuration d'iptables. Voila mon serveur est correctement configuré, avec le ftp non autorisé. Seulement il faudrait qu'un poste, dont j'ai l'@ IP, puisse avoir le ftp d'autorisé. J'ai essayé en mettant cette ligne :
iptables -A FORWARD -p tcp –-source !192.168.74.71 –j --dport 21 -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp –-source !192.168.74.71 –j --sport 21 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp –-source !192.168.74.71 –j --sport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp –-source !192.168.74.71 –j --dport 20 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT

Mais il me met comme erreur :  
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `20'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `20'

Pourtant il me semble que c'est correct. Quelq'un aurait-il une idée. Merci beaucoup !  :hello:

Message cité 1 fois
Message édité par milou161185 le 22-03-2006 à 17:25:24
Reply

Marsh Posté le 20-03-2006 à 16:33:21   

Reply

Marsh Posté le 21-03-2006 à 02:19:53    

milou161185 a écrit :

Bonjour, j'ai quelques petits problèmes de configuration d'iptables. Voila mon serveur est correctement configuré, avec le ftp non autorisé. Seulement il faudrait qu'un poste, dont j'ai l'@ IP, puisse avoir le ftp d'autorisé. J'ai essayé en mettant cette ligne :
iptables -A FORWARD -p tcp –-source !192.168.74.71 –j --dport 21 -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp –-source !192.168.74.71 –j --sport 21 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp –-source !192.168.74.71 –j --sport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp –-source !192.168.74.71 –j --dport 20 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT

Mais il me met comme erreur :  
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `20'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `20'

Pourtant il me semble que c'est correct. Quelq'un aurait-il une idée. Merci beaucoup !  :hello:


 
je vois pas se que ca fais la  :hello:  

Reply

Marsh Posté le 21-03-2006 à 13:19:40    

Voilà oui, commence par virer les -j en plein milieu des lignes ! ;-)

Reply

Marsh Posté le 21-03-2006 à 13:27:24    

Bonjour,
 
 Oui bien sur il y a 2 -j alors que le bon est à la fin pour le ACCEPT.
 Si ca ne suffit pas, essayes avec -s au lieu de --source.
 Et puis le "!", il y a surement une utilité mais je ne la connais pas, est-ce bien nécessaire ?
 Enfin, si tout cela ne fonctionne toujours pas, alors essayes avec -I (c'est un i maj comme Insert) au lieu de -A (add) afin que ces regles s'ajoutent AVANT d'éventuelles regles contraires...
 
A bientot.

Reply

Marsh Posté le 21-03-2006 à 14:11:56    

Bon j'ai fait tout comme vous m'avez dit... Mais ca marche toujours pas !!  :(  :cry:  
Maintenant j'ai ca comme ligne :  
 
iptables -I FORWARD -p tcp -s 192.168.74.71 --dport 21 -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --sport 21 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --sport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --dport 20 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT

 
Et pour répondre à lokaly, le ! sert a indiquer un "sauf", c'est-à-dire que je veux que seulement ce poste puisse avoir accès au ftp. Je l'ai enlevé mais ca ne change rien.

Reply

Marsh Posté le 21-03-2006 à 14:48:58    

Message d'erreur ?
 
Concernant le '!', je crois qu'il faut un espace entre le caractère et l'IP qui suit...

Reply

Marsh Posté le 21-03-2006 à 15:09:00    

Nan je n'ai pa de message d'erreur  :sweat:  
Et voui effectivement il faut un espace entre le ! et l'@ IP. Mais avec le ! ou non ca ne change rien !!

Reply

Marsh Posté le 21-03-2006 à 15:12:34    

Tu peux nous montrer le résultat d'un iptables -nvL ?

Reply

Marsh Posté le 21-03-2006 à 15:20:53    

Tiens vala :
 
Chain INPUT (policy ACCEPT 2183 packets, 373K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    1   413 ACCEPT     all  --  *      *       172.24.0.0/16        0.0.0.0/0
 1002  111K ACCEPT     all  --  *      *       192.168.74.0/24      0.0.0.0/0
 
Chain FORWARD (policy ACCEPT 277K packets, 170M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       172.24.0.0/16        0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            172.24.0.0/16       state RELATED,ESTABLISHED
 
Chain OUTPUT (policy ACCEPT 261 packets, 28755 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            172.24.0.0/16
 1010  380K ACCEPT     all  --  *      *       0.0.0.0/0            192.168.74.0/25

Reply

Marsh Posté le 21-03-2006 à 20:54:18    

milou161185 a écrit :

Bon j'ai fait tout comme vous m'avez dit... Mais ca marche toujours pas !!  :(  :cry:  
Maintenant j'ai ca comme ligne :  
 
iptables -I FORWARD -p tcp -s 192.168.74.71 --dport 21 -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --sport 21 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --sport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --dport 20 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT

 
Et pour répondre à lokaly, le ! sert a indiquer un "sauf", c'est-à-dire que je veux que seulement ce poste puisse avoir accès au ftp. Je l'ai enlevé mais ca ne change rien.


 
Le ! empechait donc l'IP 192.168.74.71 de se connecter donc vaut mieux ne pas le mettre en effet  [:nikolai] .
Sinon , le protocole FTP est complex  , la tu laisse seulement entrer en FORWARD , du ftp actif , mais si le client se connect en passif , il pourra se connecter mais rien faire d'autre .
 
De plus , le port 20 doit etre ouvert vers le serveur ftp et non pas depuis le client ftp , et tu indique toujours la --source comme 192.168.74.71 , or quand il faut renvoyer des donner a cette ip , ben se n'est plus la source mais la destination ... je verais tes regles plus comme ca :
 


iptables -A FORWARD -p tcp -s 192.168.74.71 --dport 21 --sport 1024: -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.74.71 --sport 21 --dport 1024: -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.74.71 --dport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.74.71 --sport 20 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


 
A tu specifié en prerouting de rediriger le port 20:21 vers le serveur ftp ?
 


$IPT -t nat -A PREROUTING -i $NET_FACE -p tcp --sport 1024: --dport 20:21 -j DNAT --to $FTP_IP


 
ensuite voila mes regles concernant le ftp , notament pour du ftp passif :
 


# Ftp depuis 0/0 actif
$IPT -A FORWARD -p TCP --sport 1024: --dport 21 -j ACCEPT
$IPT -A FORWARD -p TCP --sport 21 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p TCP --sport 1024: --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p TCP --sport 20 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
# Ftp depuis 0/0 passif
$IPT -A FORWARD -p TCP --sport 1024: --dport 35000:36000 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p TCP --sport 35000:36000 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT


 
J'ai specifié dans la conf de pure-ftpd d'utiliser les port 35000:36000 pour du ftp passif .
 
 :hello:

Reply

Marsh Posté le 21-03-2006 à 20:54:18   

Reply

Marsh Posté le 22-03-2006 à 09:37:03    

Bon je crois qu'une explication approfondie s'impose. J'ai un routeur, 3 passerelles et un serveur web. Entre le routeur et les passerelles,c'est la DMZ. C'est le serveur web qui doit avoir l'accès ftp, et lui aussi est dans la DMZ. Les règles iptables en service n'autorisent que le http sur le réseau local.
Un iptables -nvL me donne cela :
 
Chain INPUT (policy DROP 3 packets, 716 bytes)
 pkts bytes target     prot opt in     out     source               destination          
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0            
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128  
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3000  
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp spt:53  
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:53  
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:80 state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:443 state RELATED,ESTABLISHED  
   24  5375 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:10000 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:123  
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination          
    0     0 ACCEPT     udp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           udp spt:53  
    0     0 ACCEPT     udp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           udp dpt:53  
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp spt:53  
    0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:53  
    0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:443 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp spt:80 state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp spt:443 state RELATED,ESTABLISHED  
 
Chain OUTPUT (policy DROP 1 packets, 618 bytes)
 pkts bytes target     prot opt in     out     source               destination          
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0            
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:3128  
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:3000  
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           udp dpt:53  
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:53  
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:443 state NEW,RELATED,ESTABLISHED  
   34 30893 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:10000 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:123

 
Voila je crois que c'est tout ce que je peut dire de plus... ipnoz j'ai essayé se que tu m'avais dit, mais sans succés.

Reply

Marsh Posté le 22-03-2006 à 11:15:10    

Et un iptables -nvL avec la ligne que j'ai rajoutée pour le ftp donne cela :  
 
Chain INPUT (policy DROP 1 packets, 40 bytes)
 pkts bytes target     prot opt in     out     source               destination          
    4   279 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0            
    3   806 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128  
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3000  
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp spt:53  
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:53  
    3   164 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:80 state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:443 state RELATED,ESTABLISHED  
   35 14598 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:10000 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:123  
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination          
    0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            192.168.74.71       tcp spt:20 state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   eth1    192.168.74.71        0.0.0.0/0           tcp dpt:20 state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            192.168.74.71       tcp spt:21 dpts:1024:65535 state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.74.71        0.0.0.0/0           tcp spts:1024:65535 dpt:21 state NEW,RELATED,ESTABLISHED

    0     0 ACCEPT     udp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           udp spt:53  
    0     0 ACCEPT     udp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           udp dpt:53  
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp spt:53  
    0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:53  
    2    80 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:443 state NEW,RELATED,ESTABLISHED  
    2    80 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp spt:80 state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp spt:443 state RELATED,ESTABLISHED  
 
Chain OUTPUT (policy DROP 1 packets, 740 bytes)
 pkts bytes target     prot opt in     out     source               destination          
    4   279 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0            
    2    88 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:3128  
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:3000  
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           udp dpt:53  
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:53  
    4   989 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:443 state NEW,RELATED,ESTABLISHED  
   49 45259 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:10000 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:123
 
 
Les lignes en gras sont celles qui ont été rajoutée pour le ftp  ;)  
 
Merkiii

Reply

Marsh Posté le 22-03-2006 à 11:36:04    

Tu as bien sûr chargé les modules correctement ?
ip_nat_ftp
ip_conntrack_ftp
 
edit: avec ces modules une seule règle suffit
une regle pour autoriser le port 21 de ton client vers les serveurs ftp
iptables -A FORWARD -s client -p tcp --dport 21 -j ACCEPT
 
Plus une regle qui accepte les paquets dans l'etat ESTABLISHED et RELATED pour cette connection.


Message édité par l0ky le 22-03-2006 à 11:38:28
Reply

Marsh Posté le 22-03-2006 à 11:47:47    

heuuuuuu  :sweat:  :??:  :(  
Je n'ai pas chargé ces modules...
Je suppose que c'est pas bien... :sweat:  :cry:

Reply

Marsh Posté le 22-03-2006 à 14:39:42    

Bon j'ai chargé les modules en rajoutant ces lignes :  
 
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

 
Maintenant j'ai ces lignes la :
 
iptables -A FORWARD -s 192.168.74.71/16 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.74.71/16 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.74.71/16 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 192.168.74.71/16 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

Mais ca ne marche toujours pas...Help me please !! :cry:

Reply

Marsh Posté le 22-03-2006 à 14:45:10    

En même temps tu es en train de tapper des commandes sans savoir comment netfilter fonctionne derrière...
En gros tu fais n'importe quoi :/
 
Les serveurs FTP a ce que j'ai compris ils sont sur internet, et tu veux autoriser tes clients, chez toi a y accéder ?
C'est un subnet entier que tu veux autoriser ou seulement un host ?
D'ou sors tu ce /16 ?
Tu sais a quoi sert ESTABLISHED, NEW, RELATED ?
Tu te mélanges les pinceaux dans les ports sources et destinations ?
Et le protocole FTP il me semble que tu ne sais pas comment il marche...


Message édité par l0ky le 22-03-2006 à 14:49:36
Reply

Marsh Posté le 22-03-2006 à 14:48:20    

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp  
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -J ACCEPT
iptables -A FORWARD -s <ADDRRESS> -p tcp --dport 21 -m state --state NEW -J ACCEPT

Reply

Marsh Posté le 22-03-2006 à 14:54:34    

extrait de mon iptables -L -v -n:

9935K 7166M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED
   16   768 ACCEPT     tcp  --  *      *       192.168.0.0/16       0.0.0.0/0           multiport dports 21 tcp flags:0x16/0x02 ctstate NEW

extrait de mon lsmod:


ipt_state               2304  1
ipt_LOG                 6272  3
ipt_limit               2688  3
ip_nat_irc              4464  0
ip_nat_ftp              4976  0
ipt_MASQUERADE          3968  1
iptable_nat            22692  4 ip_nat_irc,ip_nat_ftp,ipt_MASQUERADE
ip_conntrack_irc       71600  1 ip_nat_irc
ip_conntrack_ftp       72240  1 ip_nat_ftp
ipt_multiport           2304  36
ipt_conntrack           2816  35
ip_conntrack           32908  8 ipt_state,ip_nat_irc,ip_nat_ftp,ipt_MASQUERADE,iptable_nat,ip_conntrack_irc,ip_conntrack_ftp,ipt_conntrack
iptable_mangle          3072  1
iptable_filter          3072  1
ip_tables              16896  12 ipt_TCPMSS,ipt_tcpmss,ipt_MARK,ipt_state,ipt_LOG,ipt_limit,ipt_MASQUERADE,iptable_nat,ipt_multiport,ipt_conntrack,iptable_mangle,iptable_filter


Message édité par l0ky le 22-03-2006 à 14:55:14
Reply

Marsh Posté le 22-03-2006 à 15:15:38    

Effectivement je ne sais pas comment le protocole ftp fonctionne, mais la connaissance c'est savoir que je ne sais pas...lol. Fin bref moi je demande qu'a le connaitre ce protocole ! Le ftp auquel de veux accèder est dans la dmz (le trafic que je voudrais serait interne a la dmz). Et je veux autoriser seulement un host précis. Et non je ne sais pas a quoi servent les protocoles cités...

Reply

Marsh Posté le 22-03-2006 à 15:36:52    

Et voici mon lsmod :
 
Module                  Size  Used by    Not tainted
ip_nat_ftp              2912   0  (unused)
ip_conntrack_ftp        3168   0  (unused)
ipt_state                608  12  (autoclean)
ipt_REDIRECT             736   1  (autoclean)
ipt_MASQUERADE          1216   1  (autoclean)
ipt_LOG                 3136   0  (autoclean)
iptable_filter          1728   1  (autoclean)
iptable_nat            12628   2  (autoclean) [ip_nat_ftp ipt_REDIRECT ipt_MASQUERADE]
ip_conntrack           12652   3  (autoclean) [ip_nat_ftp ip_conntrack_ftp ipt_state ipt_REDIRECT ipt_MASQUERADE iptable_nat]
iptable_mangle          2112   0  (autoclean) (unused)
ip_tables              10432   9  [ipt_state ipt_REDIRECT ipt_MASQUERADE ipt_LOG iptable_filter iptable_nat iptable_mangle]
3c59x                  24616   1  
3c509                   7936   1  
isa-pnp                27400   0  [3c509]
keybdev                 1664   0  (unused)
usbkbd                  2848   0  (unused)
input                   3040   0  [keybdev usbkbd]
usb-uhci               20676   0  (unused)
usbcore                48000   0  [usbkbd usb-uhci]

Reply

Marsh Posté le 22-03-2006 à 15:38:22    

NEW ESTABLISHED et RELATED ne sont pas des protocoles, ce sont les états des connections qui traverse ton firewall.
 

l0ky a écrit :

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp  
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -J ACCEPT
iptables -A FORWARD -s <ADDRRESS CLIENT> -d <SERVEUR FTP> -p tcp --dport 21 -m state --state NEW -J ACCEPT



 
Devrait suffir

Reply

Marsh Posté le 22-03-2006 à 15:39:30    

milou161185 a écrit :

Le ftp auquel de veux accèder est dans la dmz (le trafic que je voudrais serait interne a la dmz).


Interne a la DMZ, c'est a dire ?
Ton client est sur le meme réseau que ton serveur ?
Ton firewall se trouve sur ton serveur ?
 

Reply

Marsh Posté le 22-03-2006 à 15:47:07    

Bon j'ai fait tout comme tu m'as dit, mais ca ne marche toujours pas  :sweat: .
 
Voici mon iptables -nvL :

Chain INPUT (policy DROP 21 packets, 2348 bytes)
 pkts bytes target     prot opt in     out     source               destination          
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0            
   13  2043 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128  
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3000  
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp spt:53  
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:53  
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:80 state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp spt:443 state RELATED,ESTABLISHED  
   98 64357 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:10000 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:123  
 
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination          
  140 92225 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  *      *       192.168.74.71        0.0.0.0/0           tcp dpt:21 state NEW  
    0     0 ACCEPT     udp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           udp spt:53  
    0     0 ACCEPT     udp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           udp dpt:53  
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp spt:53  
    0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:53  
    0     0 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,RELATED,ESTABLISHED  
    1    48 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:443 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp spt:80 state RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0           tcp spt:443 state RELATED,ESTABLISHED  
 
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination          
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0            
    7   304 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:3128  
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:3000  
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           udp dpt:53  
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:53  
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:80 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0           tcp dpt:443 state NEW,RELATED,ESTABLISHED  
  110  117K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp spt:10000 state NEW,RELATED,ESTABLISHED  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123  
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:123

 
Et puis mon lsmod :
 
Module                  Size  Used by    Not tainted
ip_nat_ftp              2912   0  (unused)
ip_conntrack_ftp        3168   0  (unused)
ipt_state                608  12  (autoclean)
ipt_REDIRECT             736   1  (autoclean)
ipt_MASQUERADE          1216   1  (autoclean)
ipt_LOG                 3136   0  (autoclean)
iptable_filter          1728   1  (autoclean)
iptable_nat            12628   2  (autoclean) [ip_nat_ftp ipt_REDIRECT ipt_MASQUERADE]
ip_conntrack           12652   3  (autoclean) [ip_nat_ftp ip_conntrack_ftp ipt_state ipt_REDIRECT ipt_MASQUERADE iptable_nat]
iptable_mangle          2112   0  (autoclean) (unused)
ip_tables              10432   9  [ipt_state ipt_REDIRECT ipt_MASQUERADE ipt_LOG iptable_filter iptable_nat iptable_mangle]
3c59x                  24616   1  
3c509                   7936   1  
isa-pnp                27400   0  [3c509]
keybdev                 1664   0  (unused)
usbkbd                  2848   0  (unused)
input                   3040   0  [keybdev usbkbd]
usb-uhci               20676   0  (unused)
usbcore                48000   0  [usbkbd usb-uhci]

Reply

Marsh Posté le 22-03-2006 à 15:48:43    

Si tu pouvais répondre à ma question :
Le firewall il se trouve sur ton serveur FTP ou pas ?

Reply

Marsh Posté le 22-03-2006 à 15:49:23    

Oui mon client est sur le meme réseau que le ftp auquel je voudrais accéder, seulement tous le trafic passe par une passerelle, où est situé le firewall.

Reply

Marsh Posté le 22-03-2006 à 15:50:41    

si ton client se trouve sur le même réseau que ton serveur le trafic entre ton client et ton serveur ne passe pas par ta paserelle !

Reply

Marsh Posté le 22-03-2006 à 15:52:28    

Ben dans mon cas si.  
Explication : le ftp a comme passerelle par défaut le routeur, qui lui a pour passerelle la passerelle de la dmz (on va l'appeler A) et donc A bloque mon trafic.

Reply

Marsh Posté le 22-03-2006 à 15:53:18    

Je crois que je viens de sortir une horrible idiotie... :sweat:

Reply

Marsh Posté le 22-03-2006 à 15:54:14    

Vu qu'il est sur le même réseau il ne passe pas par la passerelle par défaut, et donc ne devrait pas etre bloqué...

Reply

Marsh Posté le 22-03-2006 à 15:55:27    

fait un schéma...
 
Si ton client et ton serveur son sur le meme reseau (mettons 192.168.0.0 avec le masque 255.255.255.0) le client, pour joindre ton serveur n'utilisera jamais de routeur, il va tenter de tout envoyer sur son lien..

Reply

Marsh Posté le 22-03-2006 à 15:57:22    

Mais pourquoi ca bloque ??? la je suis perdue !

Reply

Marsh Posté le 22-03-2006 à 15:59:26    

Bah si ils sont reellement sur le même réseaux....
vérifie les firewalls sur ton serveur et sur ton client
vérifie que le service FTP tourne

Reply

Marsh Posté le 22-03-2006 à 16:07:41    

Le truc c'est que sur la passerelle il y un script qui lance des regles iptables. Si je met pas de regles ca marche, mais si je les met ca ne marche plus... Alors que ca ne devrait pas avoir d'incidences...

Reply

Marsh Posté le 22-03-2006 à 16:13:04    

Il m'a l'air super bien foutu ton réseau...

Reply

Marsh Posté le 22-03-2006 à 16:14:08    

Mais si mais si...Mais c'est pas moi qui l'ai fait  :sweat:

Reply

Marsh Posté le 22-03-2006 à 16:22:27    

Voici un schéma paint du réseau :  
 
http://perso.wanadoo.fr/fcaubiere/sch%E9ma.JPG


Message édité par milou161185 le 22-03-2006 à 16:23:02
Reply

Marsh Posté le 22-03-2006 à 16:25:38    

Super et il sert le routeur a gauche ?
sinon il faudrait l'adressage (adresse/netmask) et les routes du client et du serveur ftp


Message édité par l0ky le 22-03-2006 à 16:26:10
Reply

Marsh Posté le 22-03-2006 à 16:33:47    

Le routeur, c'est lui qui donne l'accès au net donc oui il sert.
route ftp :
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.74.0    *               255.255.255.0   U     0      0        0 eth0
172.25.0.0      *               255.255.0.0     U     0      0        0 eth1
default         192.168.74.74   0.0.0.0         UG    0      0        0 eth0
 
route client :
Destination réseau    Masque réseau           Adr. passerelle            Adr. interface Métrique
          0.0.0.0               0.0.0.0                      192.168.74.74       192.168.74.71       10
          127.0.0.0            255.0.0.0                  127.0.0.1              127.0.0.1       1
          192.168.74.0       255.255.255.0            192.168.74.71        192.168.74.71       10
          192.168.74.71      255.255.255.255        127.0.0.1               127.0.0.1       10
          192.168.74.255    255.255.255.255         192.168.74.71        192.168.74.71       10
          224.0.0.0            240.0.0.0                  192.168.74.71         192.168.74.71       10
          255.255.255.255  255.255.255.255          192.168.74.71        192.168.74.71       1
          255.255.255.255  255.255.255.255         192.168.74.71           20002       1
Passerelle par défaut :     192.168.74.74

Reply

Marsh Posté le 22-03-2006 à 16:40:55    

heu, on va essayer de faire simple ...  
Ton serveur ftp est celui sur lequel tu veux mettre en place un fw à l'aide de iptables/netfilter ?
 
Il a combien d'interfaces réseaux (2 si j'ai bien compris) ? Où sont elles physiquement connectées ? (le résultat de la commande ifconfig -a lancée sur cette machine, serait le bienvenue d'ailleurs ... )
 
Mis à part filtrer l'accès au service Ftp, il doit/est censé faire quoi le firewall, sur cette machine ?


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 22-03-2006 à 16:42:49    

En fait d'apres ce que j'ai compris il essayait de configurer A, qui est un firewall...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed