Probleme tunnel SSH pour faire passer du FTP

Probleme tunnel SSH pour faire passer du FTP - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 27-05-2003 à 22:19:32    

bonjour j'ai un poste sur mon réseau avec lequel je je veux pouvoir me connecter avec ssh, j'ai donc decidé de fermer tous les ports avec iptables voila mon script seulement il marche pas
 

Code :
  1. #!/bin/bash
  2. IPT="/usr/sbin/iptables"
  3. INT=eth0
  4. INT_NET=172.16.78.0/26
  5. ALLNET=0.0.0.0/0
  6. ESTABLISHED="-m state --state established"
  7. $IPT -F
  8. $IPT -t nat -F
  9. $IPT -t mangle -F
  10. $IPT -X
  11. $IPT -t nat -X
  12. $IPT -t mangle -X
  13. $IPT -P INPUT DROP
  14. $IPT -P OUTPUT DROP
  15. $IPT -P FORWARD DROP
  16. $IPT -A OUTPUT $ESTABLISHED -o $INT -d $INT_NET -j ACCEPT
  17. $IPT -A INPUT -i $INT -s $INT_NET -p tcp --sport :1024 --dport ssh -j ACCEPT
  18. $IPT -A INPUT -i lo -j ACCEPT
  19. $IPT -A OUTPUT -o lo -j ACCEPT


 
il me renvoit le message d'erreur
 
iptables: Bad built-in chain name


Message édité par enestaf le 28-05-2003 à 21:17:35
Reply

Marsh Posté le 27-05-2003 à 22:19:32   

Reply

Marsh Posté le 27-05-2003 à 22:22:29    

essaie ça :

Code :
  1. #!/bin/bash
  2. IPT="/usr/sbin/iptables"
  3. INT=eth0
  4. INT_NET=172.16.78.0/26
  5. ALLNET=0.0.0.0/0
  6. ESTABLISHED="-m state --state established"
  7. $IPT -F
  8. $IPT -t nat -F
  9. $IPT -t mangle -F
  10. $IPT -X
  11. $IPT -t nat -X
  12. $IPT -t mangle -X
  13. $IPT -P INPUT DROP
  14. $IPT -P OUTPUT DROP
  15. $IPT -P FORWARD DROP
  16. $IPT -A OUTPUT -o $INT -d $INT_NET $ESTABLISHED -j ACCEPT
  17. $IPT -A INPUT -i $INT -s $INT_NET -p tcp --sport :1024 --dport ssh -j ACCEPT
  18. $IPT -A INPUT -i lo -j ACCEPT
  19. $IPT -A OUTPUT -o lo -j ACCEPT


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 27-05-2003 à 22:46:31    

nan ca marche pas toujours le meme probleme

Reply

Marsh Posté le 27-05-2003 à 23:29:31    

enestaf a écrit :

nan ca marche pas toujours le meme probleme
 


 
tu es sur de la syntaxe pour le ":1024" ?

Reply

Marsh Posté le 27-05-2003 à 23:43:23    

ouai mais je vais essayer avec 0:1024 on c jamais

Reply

Marsh Posté le 28-05-2003 à 00:00:15    

ca veut dire quoi le /26 dans cette ligne :

Code :
  1. INT_NET=172.16.78.0/26


 
???

Reply

Marsh Posté le 28-05-2003 à 00:16:13    

ok trouvé, un T oublié a OUTPUT
 
seulement ca marche pas! !!!!!
 
en fait c les réponse qui passent pas comprend pas??
 
INT_NET=172.16.78.0/26 cette ligne definie mon réseau local  
 
/26 c le masque ca signifie qu'il peut voir de 172.16.78.0 a 172.16.78.255

Reply

Marsh Posté le 28-05-2003 à 00:29:47    

ok merci et j'ai vu aussi des /24 c'est quel masque?

Reply

Marsh Posté le 28-05-2003 à 00:32:11    

enestaf a écrit :

ok trouvé, un T oublié a OUTPUT
 
seulement ca marche pas! !!!!!
 
en fait c les réponse qui passent pas comprend pas??
 
INT_NET=172.16.78.0/26 cette ligne definie mon réseau local  
 
/26 c le masque ca signifie qu'il peut voir de 172.16.78.0 a 172.16.78.255


 
je crois savoir :
quand tu utilises le stateful, il enregistre les connexions entrantes, et "suit" la connexion ensuite.
là tu lui fais une règle sur established
mais y-a rien d'équivalent pour le new
essaie en remplaçant :
$IPT -A INPUT -i $INT -s $INT_NET -p tcp --sport :1024 --dport ssh -j ACCEPT  
par
$IPT -A INPUT -i $INT -p tcp --dport ssh -m state --state new,established


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 28-05-2003 à 00:33:43    

Astro a écrit :

ok merci et j'ai vu aussi des /24 c'est quel masque?


 
c'est bien 24 et pas 26 pour ce qu'il veut faire ;)


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 28-05-2003 à 00:33:43   

Reply

Marsh Posté le 28-05-2003 à 00:52:24    

c vrai je vient de le modifier et en plus la deuxieme erreur est  
:1024 en fait il faut mettre 1024:
et c bon merci

Reply

Marsh Posté le 28-05-2003 à 21:18:30    

pour mon problème ca marche toujours pas en fait je veux créer un tunnel ssh d'un client putty vers mon serveur SSH/FTP afin de faire du FTP dans un tunnel. Seulement, les commandes (PI, pour les connesseurs ) passent bien mais pas les données (DTP) comment je peut faire?????
 
le firewall bloque les données?? cf script au dessus

Reply

Marsh Posté le 28-05-2003 à 21:41:25    

enestaf a écrit :

pour mon problème ca marche toujours pas en fait je veux créer un tunnel ssh d'un client putty vers mon serveur SSH/FTP afin de faire du FTP dans un tunnel.


 
C'est normal, le FTP utilise des ports dynamiques. Il faut que ton client FTP sache demander au SSH distant de forwarded les bons ports au fur et à mesure.
 
Il n'y a à ma connaissance qu'un seul client qui sache très bien faire ça : SecureFX sous Windows.

Reply

Marsh Posté le 29-05-2003 à 00:28:38    

merci avec secureFX ca marche super bien
RESOLUT

Reply

Marsh Posté le 29-05-2003 à 00:43:16    

Citation :

merci avec secureFX ca marche super bien
RESOLUT


 
Tu pourrais peut etre utiliser scp (Secure CoPy) aussi, c'est fait pour... :D


Message édité par impulse le 29-05-2003 à 00:44:00
Reply

Marsh Posté le 10-03-2005 à 01:02:20    

up de bourrin :  
meme genre de problème : j'ai mon PC chez moi, qui fait tourner un serv FTP, auquel j'aimerai bien accéder depuis l'extérieur, d'un PC linux.
Donc j'installe cygwin sur mon PC windows maison, je configure un serveur ssh, etc, tout roule.
De mon poste distant linux, je peux me connecter en ssh, faire du sftp ou du scp sur le serveur sftp "intégré" de mon serveur ssh, mais j'aimerai mieux me connecter a mon "vrai" serveur FTP tournant sous windows (plus souple, paramétrable, etc) (G6FTP).
Qu'a cela ne tienne, de mon poste distant je fait un chôli tunnel ssh, et je fait comme si je me connectait en localhost. Mais la meme problème, la connection de commande est faite, mais pour les connections de données a port aléatoire, forcément, ca chie. une solution bourrin est de forcer le serveur a répondre a tous les clients passifs sur le meme port, que je tunnelle aussi, mais c'est franchement porc. Si mon poste distant est sous secureFX, ca roule, mais si je suis sous linux ?


---------------
"Ramon Balthazard ! Lachez cette arme !"
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed