Problème firewall et FTP - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 10-06-2003 à 11:42:49
ça ne fonctionne pas ? oui mais à quel moment ça déconne.
tu n'arrive pas au login/password, ou tu te loggues mais si tu fais un ls ça bloque ?
montres voir tes règles iptables.
si su as un serveur ftp actif l'authetification se passe sur le port 21 et la transmission des données sur le port 20. Il faut que tu charges le module ipt_conntrack_ftp pour le suivi de connexion ftp (si tu l'utilise)
Marsh Posté le 10-06-2003 à 11:49:45
nikosaka a écrit : ça ne fonctionne pas ? oui mais à quel moment ça déconne. |
En fait c'est lorsque je tape simplement dans le navigateur ftp.horde.org par exemple, il cherche.... et me dis au bout d'un certain tps que la connexion n'a pu aboutir.
mes regles iptables:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:imaps
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere tcp dpt:squid
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT udp -- anywhere anywhere udp dpt:ftp
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Au fait je passe par le proxy squid pour mes connexions http en tout cas, je ne pense pas que cela influence le ftp?
mes regles iptables de nat :
[root@mail etc]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Je ne crois pas utiliser de suivi de connexion... j'ai essayé d'ouvrir le port 20 (ftp-data) mais sans résultat ...
Marsh Posté le 10-06-2003 à 12:00:19
j'aurais préféré voir ton script iptables, la partie qui concerne le ftp
ceci devrait marcher si tu es en actif, à toi de l'améliorer suivant tes besoins :
iptables -A INPUT -i $ton_interface -p tcp --sport 1024: --dport 21 -m state --state NEW -j A
CCEPT
iptables -A OUTPUT -o $ton_interface -p tcp --sport 20 --dport 1024: -m state --state NEW -j
ACCEPT
iptables -A INPUT -p tcp -m state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state ESTABLISHED -j ACCEPT
Marsh Posté le 11-06-2003 à 09:51:08
JoWiLe a écrit : |
Ouais c'etait bien ça, il fallait charger le module _ip_conntrack.
Mais en fait j'aurais jamais pensé à ça parceque sur la RH9 ça doit être installé par défaut et là j'essayais de l'installer sur une RH Advanced Server 2.1
Merci en tout cas.
Marsh Posté le 10-06-2003 à 11:34:04
J'ai un firewall fait avec iptables qui tourne sur un serveur. Tout focntionne sauf le ftp. Poutant j'ai bien spécifié la règle autorisant le port 21, autant en TCP que UDP... mais ça fonctionne toujours pas. Je mets la chaîne INPUT en ACCEPT et là ça fonctionne.
ftp ferait-il appel à d'autres ports qui eux sont bloqués par le firewall?
---------------
Le sportif intelligent evite l'effort inutile