Conversation
precedente ou
suivante
comment gerer les ports
Envoyé par:
roinou
Salut a tous,
Je travaille sur une Mandrake 9.2, derriere un routeur/modem netgear. J'ai monté un server ftp, et pour cela j'ai router les ports 21 et 20 vers ma machine. j'ai desactivé le firewall de andrake (par le panneau de controle), et également iptables (avec /etc/init.d/iptables stop , j'espere que c'est sa) pour ouvrir tous mes ports. Cependant, un nmap sur localhost me signal que seul les ports 21, 25 et qques autres sont ouverts. Comment sa ce fait, ais-je un troisième firewall?
Je confirme cees resultats par un telnet localhost 20, qui me refuse la connexion, tandis qu'avec 21 sa marche. Et pourtant, mon ftp a l'air de mieux marcher en mode actif (avec le port 20) qu'en passif (à distance bien sur). Est-ce que quelqu'un pourrai me faire un petit topo sur l'ouverture des ports, ou m'envoyer un lien pertinent.
Et puis pour le mode passif, est-il imperatif de router les ports 50000 et 50100 par mon modem?
Merci de votre aide.
Je travaille sur une Mandrake 9.2, derriere un routeur/modem netgear. J'ai monté un server ftp, et pour cela j'ai router les ports 21 et 20 vers ma machine. j'ai desactivé le firewall de andrake (par le panneau de controle), et également iptables (avec /etc/init.d/iptables stop , j'espere que c'est sa) pour ouvrir tous mes ports. Cependant, un nmap sur localhost me signal que seul les ports 21, 25 et qques autres sont ouverts. Comment sa ce fait, ais-je un troisième firewall?
Je confirme cees resultats par un telnet localhost 20, qui me refuse la connexion, tandis qu'avec 21 sa marche. Et pourtant, mon ftp a l'air de mieux marcher en mode actif (avec le port 20) qu'en passif (à distance bien sur). Est-ce que quelqu'un pourrai me faire un petit topo sur l'ouverture des ports, ou m'envoyer un lien pertinent.
Et puis pour le mode passif, est-il imperatif de router les ports 50000 et 50100 par mon modem?
Merci de votre aide.
Poste le Tuesday 2 December 2003 19:19:45
Re: comment gerer les ports
Envoyé par:
lechabin
le mieux que tu puisses faire c'est desinstaller ipchains au cas ou et shorewall
tu garderas iptables pour tes regles de filtrages
et apres tu vas desactiver iptables avec ta commande
voila
dc
urpme ipchains
urpme shorewall
et apres dis ce qui se passe.
tu garderas iptables pour tes regles de filtrages
et apres tu vas desactiver iptables avec ta commande
voila
dc
urpme ipchains
urpme shorewall
et apres dis ce qui se passe.
Poste le Wednesday 3 December 2003 04:41:22
Re: comment gerer les ports
Envoyé par:
roinou
voila, j'ai desinstallé shorewall, mais ipchains n'est pas installé.
et toujours le meme problème.
Voila ce que me renvoie :
# /etc/init.d/iptables status
Table : nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Table : mangle
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Table : filter
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
donc à priori les regles de filtrages sont désactivées, donc je devrai avoir accès à tous les ports. Ben toujours pas... Ce sont toujours les mêmes ports qui sont ouverts...
et toujours le meme problème.
Voila ce que me renvoie :
# /etc/init.d/iptables status
Table : nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Table : mangle
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Table : filter
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
donc à priori les regles de filtrages sont désactivées, donc je devrai avoir accès à tous les ports. Ben toujours pas... Ce sont toujours les mêmes ports qui sont ouverts...
Poste le Wednesday 3 December 2003 11:06:52
Re: comment gerer les ports
Envoyé par:
alveric
Les scans de nmap (ou d'autres logiciels) envoient une requête de connexion sur tous les ports, et revoient trois types de résultats:
- port filtré : aucune réponse (donc firewall - ou machine non connectée au réseau);
- port fermé: la machine est activée, mais rejette toute connexion sur ce port avec un message d'erreur ("ICMP port unreachable"),
- port ouvert: la connexion est accepté, ce qui signifie 1) la machine est présente 2) elle ne filtre pas le port 3) un logiciel écoute sur ce port.
(plus d'info: man nmap)
Dans ton cas, seuls les ports 21 et 25 sont "ouverts", ce qui signifie que deux serveurs écoutent (ftp et smtp) sur ces ports, et seulement ceux-là. C'est donc normal qu'un "telnet localhost 20" soit refusé.
Par contre, je ne sais pas à quel moment le serveur ftp prend le contrôle du port 20 quand tu le configures en actif. Ca dépend sûrement du logiciel.
Évite quand même de désactiver complètement ton firewall, sauf si le routeur est bien configuré (et encore...).
- port filtré : aucune réponse (donc firewall - ou machine non connectée au réseau);
- port fermé: la machine est activée, mais rejette toute connexion sur ce port avec un message d'erreur ("ICMP port unreachable"),
- port ouvert: la connexion est accepté, ce qui signifie 1) la machine est présente 2) elle ne filtre pas le port 3) un logiciel écoute sur ce port.
(plus d'info: man nmap)
Dans ton cas, seuls les ports 21 et 25 sont "ouverts", ce qui signifie que deux serveurs écoutent (ftp et smtp) sur ces ports, et seulement ceux-là. C'est donc normal qu'un "telnet localhost 20" soit refusé.
Par contre, je ne sais pas à quel moment le serveur ftp prend le contrôle du port 20 quand tu le configures en actif. Ca dépend sûrement du logiciel.
Évite quand même de désactiver complètement ton firewall, sauf si le routeur est bien configuré (et encore...).
Poste le Wednesday 3 December 2003 11:16:35
Re: comment gerer les ports
Envoyé par:
gregolak
Les commandes ci-dessous réinitialisent
tous les filtres iptables
# suppression de toutes les chaines
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
Mais ca ma parait dangereux... Le mieux est de te documenter
un minimum sur un firewall et de l'utiliser...
Sinon de mémoire pour ouvrir le port 21 dans les deux
sens il faut faire (pour iptables, donc par exemple à ajouter
à la fin de ton /etc/init.d/iptables ) :
iptables -t filter -A INPUT -i eth0 -p tcp --sport 21 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state ! INVALID -j ACCEPT
Enfin sous réserve, si qqn peut confirmer ca,
car je m'emmele toujours entre sport/dport et -i/-o ;-|
tous les filtres iptables
# suppression de toutes les chaines
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
Mais ca ma parait dangereux... Le mieux est de te documenter
un minimum sur un firewall et de l'utiliser...
Sinon de mémoire pour ouvrir le port 21 dans les deux
sens il faut faire (pour iptables, donc par exemple à ajouter
à la fin de ton /etc/init.d/iptables ) :
iptables -t filter -A INPUT -i eth0 -p tcp --sport 21 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 21 -m state --state ! INVALID -j ACCEPT
Enfin sous réserve, si qqn peut confirmer ca,
car je m'emmele toujours entre sport/dport et -i/-o ;-|
Poste le Wednesday 3 December 2003 11:19:15
Ce forum !
comment gerer les ports
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons