Config de ftp (résolu) [Iptables] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 21-03-2006 à 02:19:53
milou161185 a écrit : Bonjour, j'ai quelques petits problèmes de configuration d'iptables. Voila mon serveur est correctement configuré, avec le ftp non autorisé. Seulement il faudrait qu'un poste, dont j'ai l'@ IP, puisse avoir le ftp d'autorisé. J'ai essayé en mettant cette ligne : |
je vois pas se que ca fais la
Marsh Posté le 21-03-2006 à 13:19:40
Voilà oui, commence par virer les -j en plein milieu des lignes ! ;-)
Marsh Posté le 21-03-2006 à 13:27:24
Bonjour,
Oui bien sur il y a 2 -j alors que le bon est à la fin pour le ACCEPT.
Si ca ne suffit pas, essayes avec -s au lieu de --source.
Et puis le "!", il y a surement une utilité mais je ne la connais pas, est-ce bien nécessaire ?
Enfin, si tout cela ne fonctionne toujours pas, alors essayes avec -I (c'est un i maj comme Insert) au lieu de -A (add) afin que ces regles s'ajoutent AVANT d'éventuelles regles contraires...
A bientot.
Marsh Posté le 21-03-2006 à 14:11:56
Bon j'ai fait tout comme vous m'avez dit... Mais ca marche toujours pas !!
Maintenant j'ai ca comme ligne :
iptables -I FORWARD -p tcp -s 192.168.74.71 --dport 21 -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --sport 21 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --sport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.74.71 --dport 20 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT
Et pour répondre à lokaly, le ! sert a indiquer un "sauf", c'est-à-dire que je veux que seulement ce poste puisse avoir accès au ftp. Je l'ai enlevé mais ca ne change rien.
Marsh Posté le 21-03-2006 à 14:48:58
Message d'erreur ?
Concernant le '!', je crois qu'il faut un espace entre le caractère et l'IP qui suit...
Marsh Posté le 21-03-2006 à 15:09:00
Nan je n'ai pa de message d'erreur
Et voui effectivement il faut un espace entre le ! et l'@ IP. Mais avec le ! ou non ca ne change rien !!
Marsh Posté le 21-03-2006 à 15:20:53
Tiens vala :
Chain INPUT (policy ACCEPT 2183 packets, 373K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
1 413 ACCEPT all -- * * 172.24.0.0/16 0.0.0.0/0
1002 111K ACCEPT all -- * * 192.168.74.0/24 0.0.0.0/0
Chain FORWARD (policy ACCEPT 277K packets, 170M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 172.24.0.0/16 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 172.24.0.0/16 state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT 261 packets, 28755 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 172.24.0.0/16
1010 380K ACCEPT all -- * * 0.0.0.0/0 192.168.74.0/25
Marsh Posté le 21-03-2006 à 20:54:18
milou161185 a écrit : Bon j'ai fait tout comme vous m'avez dit... Mais ca marche toujours pas !! |
Le ! empechait donc l'IP 192.168.74.71 de se connecter donc vaut mieux ne pas le mettre en effet .
Sinon , le protocole FTP est complex , la tu laisse seulement entrer en FORWARD , du ftp actif , mais si le client se connect en passif , il pourra se connecter mais rien faire d'autre .
De plus , le port 20 doit etre ouvert vers le serveur ftp et non pas depuis le client ftp , et tu indique toujours la --source comme 192.168.74.71 , or quand il faut renvoyer des donner a cette ip , ben se n'est plus la source mais la destination ... je verais tes regles plus comme ca :
|
A tu specifié en prerouting de rediriger le port 20:21 vers le serveur ftp ?
|
ensuite voila mes regles concernant le ftp , notament pour du ftp passif :
|
J'ai specifié dans la conf de pure-ftpd d'utiliser les port 35000:36000 pour du ftp passif .
Marsh Posté le 22-03-2006 à 09:37:03
Bon je crois qu'une explication approfondie s'impose. J'ai un routeur, 3 passerelles et un serveur web. Entre le routeur et les passerelles,c'est la DMZ. C'est le serveur web qui doit avoir l'accès ftp, et lui aussi est dans la DMZ. Les règles iptables en service n'autorisent que le http sur le réseau local.
Un iptables -nvL me donne cela :
Chain INPUT (policy DROP 3 packets, 716 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED
24 5375 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED
Chain OUTPUT (policy DROP 1 packets, 618 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3000
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
34 30893 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123
Voila je crois que c'est tout ce que je peut dire de plus... ipnoz j'ai essayé se que tu m'avais dit, mais sans succés.
Marsh Posté le 22-03-2006 à 11:15:10
Et un iptables -nvL avec la ligne que j'ai rajoutée pour le ftp donne cela :
Chain INPUT (policy DROP 1 packets, 40 bytes)
pkts bytes target prot opt in out source destination
4 279 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
3 806 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:53
3 164 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED
35 14598 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 192.168.74.71 tcp spt:20 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 192.168.74.71 0.0.0.0/0 tcp dpt:20 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 192.168.74.71 tcp spt:21 dpts:1024:65535 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth1 eth0 192.168.74.71 0.0.0.0/0 tcp spts:1024:65535 dpt:21 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
2 80 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
2 80 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED
Chain OUTPUT (policy DROP 1 packets, 740 bytes)
pkts bytes target prot opt in out source destination
4 279 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
2 88 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3000
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
4 989 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
49 45259 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123
Les lignes en gras sont celles qui ont été rajoutée pour le ftp
Merkiii
Marsh Posté le 22-03-2006 à 11:36:04
Tu as bien sûr chargé les modules correctement ?
ip_nat_ftp
ip_conntrack_ftp
edit: avec ces modules une seule règle suffit
une regle pour autoriser le port 21 de ton client vers les serveurs ftp
iptables -A FORWARD -s client -p tcp --dport 21 -j ACCEPT
Plus une regle qui accepte les paquets dans l'etat ESTABLISHED et RELATED pour cette connection.
Marsh Posté le 22-03-2006 à 11:47:47
heuuuuuu
Je n'ai pas chargé ces modules...
Je suppose que c'est pas bien...
Marsh Posté le 22-03-2006 à 14:39:42
Bon j'ai chargé les modules en rajoutant ces lignes :
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
Maintenant j'ai ces lignes la :
iptables -A FORWARD -s 192.168.74.71/16 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.74.71/16 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.74.71/16 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 192.168.74.71/16 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
Mais ca ne marche toujours pas...Help me please !!
Marsh Posté le 22-03-2006 à 14:45:10
En même temps tu es en train de tapper des commandes sans savoir comment netfilter fonctionne derrière...
En gros tu fais n'importe quoi
Les serveurs FTP a ce que j'ai compris ils sont sur internet, et tu veux autoriser tes clients, chez toi a y accéder ?
C'est un subnet entier que tu veux autoriser ou seulement un host ?
D'ou sors tu ce /16 ?
Tu sais a quoi sert ESTABLISHED, NEW, RELATED ?
Tu te mélanges les pinceaux dans les ports sources et destinations ?
Et le protocole FTP il me semble que tu ne sais pas comment il marche...
Marsh Posté le 22-03-2006 à 14:48:20
modprobe ip_conntrack_ftp |
Marsh Posté le 22-03-2006 à 14:54:34
extrait de mon iptables -L -v -n:
9935K 7166M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED |
extrait de mon lsmod:
|
Marsh Posté le 22-03-2006 à 15:15:38
Effectivement je ne sais pas comment le protocole ftp fonctionne, mais la connaissance c'est savoir que je ne sais pas...lol. Fin bref moi je demande qu'a le connaitre ce protocole ! Le ftp auquel de veux accèder est dans la dmz (le trafic que je voudrais serait interne a la dmz). Et je veux autoriser seulement un host précis. Et non je ne sais pas a quoi servent les protocoles cités...
Marsh Posté le 22-03-2006 à 15:36:52
Et voici mon lsmod :
Module Size Used by Not tainted
ip_nat_ftp 2912 0 (unused)
ip_conntrack_ftp 3168 0 (unused)
ipt_state 608 12 (autoclean)
ipt_REDIRECT 736 1 (autoclean)
ipt_MASQUERADE 1216 1 (autoclean)
ipt_LOG 3136 0 (autoclean)
iptable_filter 1728 1 (autoclean)
iptable_nat 12628 2 (autoclean) [ip_nat_ftp ipt_REDIRECT ipt_MASQUERADE]
ip_conntrack 12652 3 (autoclean) [ip_nat_ftp ip_conntrack_ftp ipt_state ipt_REDIRECT ipt_MASQUERADE iptable_nat]
iptable_mangle 2112 0 (autoclean) (unused)
ip_tables 10432 9 [ipt_state ipt_REDIRECT ipt_MASQUERADE ipt_LOG iptable_filter iptable_nat iptable_mangle]
3c59x 24616 1
3c509 7936 1
isa-pnp 27400 0 [3c509]
keybdev 1664 0 (unused)
usbkbd 2848 0 (unused)
input 3040 0 [keybdev usbkbd]
usb-uhci 20676 0 (unused)
usbcore 48000 0 [usbkbd usb-uhci]
Marsh Posté le 22-03-2006 à 15:38:22
NEW ESTABLISHED et RELATED ne sont pas des protocoles, ce sont les états des connections qui traverse ton firewall.
l0ky a écrit :
|
Devrait suffir
Marsh Posté le 22-03-2006 à 15:39:30
milou161185 a écrit : Le ftp auquel de veux accèder est dans la dmz (le trafic que je voudrais serait interne a la dmz). |
Interne a la DMZ, c'est a dire ?
Ton client est sur le meme réseau que ton serveur ?
Ton firewall se trouve sur ton serveur ?
Marsh Posté le 22-03-2006 à 15:47:07
Bon j'ai fait tout comme tu m'as dit, mais ca ne marche toujours pas .
Voici mon iptables -nvL :
Chain INPUT (policy DROP 21 packets, 2348 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
13 2043 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3000
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED
98 64357 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
140 92225 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 192.168.74.71 0.0.0.0/0 tcp dpt:21 state NEW
0 0 ACCEPT udp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
1 48 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp spt:443 state RELATED,ESTABLISHED
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
7 304 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:3000
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW,RELATED,ESTABLISHED
110 117K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:10000 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:123
Et puis mon lsmod :
Module Size Used by Not tainted
ip_nat_ftp 2912 0 (unused)
ip_conntrack_ftp 3168 0 (unused)
ipt_state 608 12 (autoclean)
ipt_REDIRECT 736 1 (autoclean)
ipt_MASQUERADE 1216 1 (autoclean)
ipt_LOG 3136 0 (autoclean)
iptable_filter 1728 1 (autoclean)
iptable_nat 12628 2 (autoclean) [ip_nat_ftp ipt_REDIRECT ipt_MASQUERADE]
ip_conntrack 12652 3 (autoclean) [ip_nat_ftp ip_conntrack_ftp ipt_state ipt_REDIRECT ipt_MASQUERADE iptable_nat]
iptable_mangle 2112 0 (autoclean) (unused)
ip_tables 10432 9 [ipt_state ipt_REDIRECT ipt_MASQUERADE ipt_LOG iptable_filter iptable_nat iptable_mangle]
3c59x 24616 1
3c509 7936 1
isa-pnp 27400 0 [3c509]
keybdev 1664 0 (unused)
usbkbd 2848 0 (unused)
input 3040 0 [keybdev usbkbd]
usb-uhci 20676 0 (unused)
usbcore 48000 0 [usbkbd usb-uhci]
Marsh Posté le 22-03-2006 à 15:48:43
Si tu pouvais répondre à ma question :
Le firewall il se trouve sur ton serveur FTP ou pas ?
Marsh Posté le 22-03-2006 à 15:49:23
Oui mon client est sur le meme réseau que le ftp auquel je voudrais accéder, seulement tous le trafic passe par une passerelle, où est situé le firewall.
Marsh Posté le 22-03-2006 à 15:50:41
si ton client se trouve sur le même réseau que ton serveur le trafic entre ton client et ton serveur ne passe pas par ta paserelle !
Marsh Posté le 22-03-2006 à 15:52:28
Ben dans mon cas si.
Explication : le ftp a comme passerelle par défaut le routeur, qui lui a pour passerelle la passerelle de la dmz (on va l'appeler A) et donc A bloque mon trafic.
Marsh Posté le 22-03-2006 à 15:54:14
Vu qu'il est sur le même réseau il ne passe pas par la passerelle par défaut, et donc ne devrait pas etre bloqué...
Marsh Posté le 22-03-2006 à 15:55:27
fait un schéma...
Si ton client et ton serveur son sur le meme reseau (mettons 192.168.0.0 avec le masque 255.255.255.0) le client, pour joindre ton serveur n'utilisera jamais de routeur, il va tenter de tout envoyer sur son lien..
Marsh Posté le 22-03-2006 à 15:59:26
Bah si ils sont reellement sur le même réseaux....
vérifie les firewalls sur ton serveur et sur ton client
vérifie que le service FTP tourne
Marsh Posté le 22-03-2006 à 16:07:41
Le truc c'est que sur la passerelle il y un script qui lance des regles iptables. Si je met pas de regles ca marche, mais si je les met ca ne marche plus... Alors que ca ne devrait pas avoir d'incidences...
Marsh Posté le 22-03-2006 à 16:22:27
Voici un schéma paint du réseau :
Marsh Posté le 22-03-2006 à 16:25:38
Super et il sert le routeur a gauche ?
sinon il faudrait l'adressage (adresse/netmask) et les routes du client et du serveur ftp
Marsh Posté le 22-03-2006 à 16:33:47
Le routeur, c'est lui qui donne l'accès au net donc oui il sert.
route ftp :
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.74.0 * 255.255.255.0 U 0 0 0 eth0
172.25.0.0 * 255.255.0.0 U 0 0 0 eth1
default 192.168.74.74 0.0.0.0 UG 0 0 0 eth0
route client :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.74.74 192.168.74.71 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.74.0 255.255.255.0 192.168.74.71 192.168.74.71 10
192.168.74.71 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.74.255 255.255.255.255 192.168.74.71 192.168.74.71 10
224.0.0.0 240.0.0.0 192.168.74.71 192.168.74.71 10
255.255.255.255 255.255.255.255 192.168.74.71 192.168.74.71 1
255.255.255.255 255.255.255.255 192.168.74.71 20002 1
Passerelle par défaut : 192.168.74.74
Marsh Posté le 22-03-2006 à 16:40:55
heu, on va essayer de faire simple ...
Ton serveur ftp est celui sur lequel tu veux mettre en place un fw à l'aide de iptables/netfilter ?
Il a combien d'interfaces réseaux (2 si j'ai bien compris) ? Où sont elles physiquement connectées ? (le résultat de la commande ifconfig -a lancée sur cette machine, serait le bienvenue d'ailleurs ... )
Mis à part filtrer l'accès au service Ftp, il doit/est censé faire quoi le firewall, sur cette machine ?
Marsh Posté le 22-03-2006 à 16:42:49
En fait d'apres ce que j'ai compris il essayait de configurer A, qui est un firewall...
Marsh Posté le 20-03-2006 à 16:33:21
Bonjour, j'ai quelques petits problèmes de configuration d'iptables. Voila mon serveur est correctement configuré, avec le ftp non autorisé. Seulement il faudrait qu'un poste, dont j'ai l'@ IP, puisse avoir le ftp d'autorisé. J'ai essayé en mettant cette ligne :
iptables -A FORWARD -p tcp -source !192.168.74.71 j --dport 21 -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -source !192.168.74.71 j --sport 21 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -source !192.168.74.71 j --sport 20 -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -source !192.168.74.71 j --dport 20 -i eth1 -o eth0 -m state --state ESTABLISHED -j ACCEPT
Mais il me met comme erreur :
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `21'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `20'
Try `iptables -h' or 'iptables --help' for more information.
Bad argument `20'
Pourtant il me semble que c'est correct. Quelq'un aurait-il une idée. Merci beaucoup !
Message édité par milou161185 le 22-03-2006 à 17:25:24