Avec ip_conntrack_ftp tu n'ouvres pas tous les ports, au contraire, tu ouvre le port dont l'utilisateur a besoin au moment ou il en a besoin, et il se refermes apres...

Si tu a un doute, teste ton firewall ici: [www.grc.com]

Poste le Saturday 27 November 2004 18:30:58

Ci j'ai bien compris, avec ip_conntrack_ftp il n'y a pas besoin d'ouvrir les ports de 1024 a 65535.

Pourtant, dans la commande :
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

le "1024:65535" ouvre bien tous ces port non?

et si je retire cette commande, ca ne marche plus...

donc, comment ne pas ouvrir tous ces port????

Le systeme de test de firewall (grc.com), ben ca ne marche pas : ca charge pendant 2 ou 3 minutes, puis il me dit qu'il ne peut pas y acceder....

Poste le Saturday 27 November 2004 19:07:19

Salut,

ip_conntrack_ftp est un module d'iptables pensé pour gérer le FTP... le problème ce n'est donc pas lui mais le FTP qui fait une redirection de port ( d'où le 1024:65535 )...

"conntrack" signifie suivi de connexion... autrement dit il est chargé de surveiller si tu n'as bien que les connexions que tu désires...

Dans les lignes conseillées par Léa, le plus important c'est "RELATED" et "ESTABLISHED"... ça veut dire que si une connexion n'a pas été initiée par toi, les paquets la concernant seront jetés ( si toutefois ta politique par défaut est bien "DROP" )...

Pour plus d'explications, le tutoriel de netfilter/iptables (en) : [iptables-tutorial.frozentux.net]

Un site de test qui marche : www.pcflank.com

Poste le Sunday 28 November 2004 13:15:42

GARG!! un bon gros tutoriel noir&blanc/anglais/ultra-verbeux(!)(!)(!)
tout comme j'aime pas... :-(
Bon ben.... merci, j'ai plus qu'a lire maintenant...
Je suppose qu'il faut savoir passer par la pour devenir un bon liuxien averti :-/

Sinon, pcflank marche tres bien. c'est ok, sauf pour les infos perso... j'ai plus qu'a regler ca...

merci

Poste le Sunday 28 November 2004 14:53:38

Pour les infos perso, ça dépend ce qui est indiqué :

Les cookies : du moment que tu laisses entrer les cookies, il te les signale, mais il n'a aucun de moyen de connaître ta politique ( ex. "considérer tous les cookies comme des cookies de sessions"... auquel cas tu ne crains pas grand chose... ).

Les referers... ça dépend de ton navigateur... si c'est firefox, il n'y a que deux lignes à ajouter dans .../firefox/defaults/pref/firefox.js pour régler ça...

pref("network.http.sendRefererHeader", 0);
pref("capability.policy.default.Window.onunload", "noAccess");

Pour une doc bien plus buvable ( fr ;-) ) sur les principes généraux de iptables :

[olivieraj.free.fr]

Poste le Sunday 28 November 2004 17:00:31

:-)
OUF!!
Je prend note de l'adresse!! Merci c'est cool!
telechargeable au format PDF en plus! que demander de plus!

merci aussi pour le petit truc de firefox

cedric

Poste le Monday 29 November 2004 08:39:52

En fait je t'ai donné le tutoriel d'Andreasson parce qu'il t'explique bien comment fonctionne le ftp, qui est un protocole un peu spécial... Mon conseil : concentre-toi sur la doc fr pour les principes généraux, et vas chercher dans le tutoriel d'Andreasson les réponses à des questions ultérieures précises...

Bon courage ! ;-)

Poste le Monday 29 November 2004 11:53:12

merci pour tout

Poste le Monday 29 November 2004 16:21:17