Problème firewall et FTP

Problème firewall et FTP - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 10-06-2003 à 11:34:04    

J'ai un firewall fait avec iptables qui tourne sur un serveur. Tout focntionne sauf le ftp. Poutant j'ai bien spécifié la règle autorisant le port 21, autant en TCP que UDP... mais ça fonctionne toujours pas. Je mets la chaîne INPUT en ACCEPT et là ça fonctionne.  
ftp ferait-il appel à d'autres ports qui eux sont bloqués par le firewall?


---------------
Le sportif intelligent evite l'effort inutile
Reply

Marsh Posté le 10-06-2003 à 11:34:04   

Reply

Marsh Posté le 10-06-2003 à 11:42:49    

ça ne fonctionne pas ? oui mais à quel moment ça déconne.
tu n'arrive pas au login/password, ou tu te loggues mais si tu fais un ls ça bloque ?
montres voir tes règles iptables.
si su as un serveur ftp actif l'authetification se passe sur le port 21 et la transmission des données sur le port 20. Il faut que tu charges le module ipt_conntrack_ftp pour le suivi de connexion ftp (si tu l'utilise)

Reply

Marsh Posté le 10-06-2003 à 11:49:45    

nikosaka a écrit :

ça ne fonctionne pas ? oui mais à quel moment ça déconne.
tu n'arrive pas au login/password, ou tu te loggues mais si tu fais un ls ça bloque ?
montres voir tes règles iptables.
si su as un serveur ftp actif l'authetification se passe sur le port 21 et la transmission des données sur le port 20. Il faut que tu charges le module ipt_conntrack_ftp pour le suivi de connexion ftp (si tu l'utilise)


 
En fait c'est lorsque je tape simplement dans le navigateur ftp.horde.org par exemple, il cherche.... et me dis au bout d'un certain tps que la connexion n'a pu aboutir.
 
mes regles iptables:
 
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere           udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:squid
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:http
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp
ACCEPT     udp  --  anywhere             anywhere           udp dpt:ftp
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
 
 
Au fait je passe par le proxy squid pour mes connexions http en tout cas, je ne pense pas que cela influence le ftp?
mes regles iptables de nat :
 
[root@mail etc]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  anywhere             anywhere           tcp dpt:http redir ports 3128
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Je ne crois pas utiliser de suivi de connexion... j'ai essayé d'ouvrir le port 20 (ftp-data) mais sans résultat ...


---------------
Le sportif intelligent evite l'effort inutile
Reply

Marsh Posté le 10-06-2003 à 12:00:19    

j'aurais préféré voir ton script iptables, la partie qui concerne le ftp
ceci devrait marcher si tu es en actif, à toi de l'améliorer suivant tes besoins :
iptables -A INPUT -i $ton_interface -p tcp --sport 1024: --dport 21 -m state --state NEW -j A
CCEPT
 
iptables -A OUTPUT -o $ton_interface -p tcp --sport 20 --dport 1024: -m state --state NEW -j
ACCEPT
 
iptables -A INPUT -p tcp -m state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state ESTABLISHED -j ACCEPT

Reply

Marsh Posté le 11-06-2003 à 09:51:08    

JoWiLe a écrit :


 
 
il faut que tu charges le module ip_conntrack pour le ftp
 
 


 
 
Ouais c'etait bien ça, il fallait charger le module _ip_conntrack.
Mais en fait j'aurais jamais pensé à ça parceque sur la RH9 ça doit être installé par défaut et là j'essayais de l'installer sur une RH Advanced Server 2.1
Merci en tout cas.


---------------
Le sportif intelligent evite l'effort inutile
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed