Conversation
precedente ou
suivante
iptables Helper - ftp passive
Envoyé par:
Gosth35
Bonjour,
je demande votre aide après de longues heures à tenter de résoudre ce problème!
Voici un extrait de ma configuration iptables:
=====================================================================
/sbin/modprobe ip_conntrack
/sbin/modprobe ipt_conntrack
/sbin/modprobe ip_conntrack_ftp ports=21,3021
/sbin/modprobe ip_nat_ftp
P_TCP_FTP="3021"
H_GALLY_ETH0="x.x.x.x" :censored:
# Autorise la connexion FTP
iptables -A INPUT -i eth0 -p tcp --syn -d $H_GALLY_ETH0 --dport $P_TCP_FTP -m limit --limit 20/s -j ACCEPT
# Autorise la connexion FTP-DATA
iptables -A INPUT -i eth0 -p tcp -d $H_GALLY_ETH0 -m helper --helper ftp-$P_TCP_FTP -j ACCEPT
# Autorise les connexions établies
iptables -A INPUT -i eth0 -p tcp -d $H_GALLY_ETH0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Autorise les paquets à sortir
iptables -P OUTPUT ACCEPT
=====================================================================
La connexion FTP s'établie bien, mais lors de l'entrée du paquet SYN pour la DATA, celui-ci est refusé par la règle "iptables -P INPUT DROP"
Il me semble que le module conntrack_ftp n'arrive pas à mettre en relation la connexion établie sur le port 3021, et la nouvelle connexion FTP-DATA, d'où l'impossibilité de lister le répertoire courant FTP pour le client.
Quelqu'un aurait-il une brillante idée ?!
Merci,
Gosth35
je demande votre aide après de longues heures à tenter de résoudre ce problème!
Voici un extrait de ma configuration iptables:
=====================================================================
/sbin/modprobe ip_conntrack
/sbin/modprobe ipt_conntrack
/sbin/modprobe ip_conntrack_ftp ports=21,3021
/sbin/modprobe ip_nat_ftp
P_TCP_FTP="3021"
H_GALLY_ETH0="x.x.x.x" :censored:
# Autorise la connexion FTP
iptables -A INPUT -i eth0 -p tcp --syn -d $H_GALLY_ETH0 --dport $P_TCP_FTP -m limit --limit 20/s -j ACCEPT
# Autorise la connexion FTP-DATA
iptables -A INPUT -i eth0 -p tcp -d $H_GALLY_ETH0 -m helper --helper ftp-$P_TCP_FTP -j ACCEPT
# Autorise les connexions établies
iptables -A INPUT -i eth0 -p tcp -d $H_GALLY_ETH0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Autorise les paquets à sortir
iptables -P OUTPUT ACCEPT
=====================================================================
La connexion FTP s'établie bien, mais lors de l'entrée du paquet SYN pour la DATA, celui-ci est refusé par la règle "iptables -P INPUT DROP"
Il me semble que le module conntrack_ftp n'arrive pas à mettre en relation la connexion établie sur le port 3021, et la nouvelle connexion FTP-DATA, d'où l'impossibilité de lister le répertoire courant FTP pour le client.
Quelqu'un aurait-il une brillante idée ?!
Merci,
Gosth35
Poste le Wednesday 29 August 2007 20:25:52
Ce forum !
iptables Helper - ftp passive
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons