[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Quels ports en FTP "passive mode"


From Fred Lemasson <djassper at gmail dot com>
Subject Re: [gulliver] Quels ports en FTP "passive mode"
Date Thu, 29 Dec 2005 19:16:00 +0100

> J'ai remplacé mes lignes (ci-dessous) par les tiennes => OK
>
> $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp -m multiport --sports
>    domain,http,https,ftp,ftp-data,pop-3,smtp,ssh -m state --state
>    ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp -m multiport --dports
>    domain,http,https,ftp,ftp-data,pop-3,smtp,ssh -m state --state
>    NEW,ESTABLISHED,RELATED -j ACCEPT

> Peut-être est-ce le multiport ???
> Queqlqu'un aurait-il une idée de ce qui bloque ???
tu peux etre plus généreux en INPUT,le respect de tous les paramètres
est nécessaire alors c vachement bridé ton INPUT (même si c préférable
en un sens :) bref il suffit que tu fasses un peu d'UDP OU un peu d'un
autre port que spécifié pour que ca foire.

Je suis pas certain que le port source de transfert ftp des paquets
entrants soit 20 ou 21 ce qui expliquerait le bloquage, à mons sens :

IPTABLES -A INPUT -i $EXTERNAL_IF  -m state --state 
ESTABLISHED,RELATED -j ACCEPT

ca suffit, de toute facon c'est du stateful ESTABLISHED donc vu que tu
ne laisse sortir que   domain,http,https,ftp,ftp-data,pop-3,smtp,ssh
yaura que ca à pouvoir revenir (meme sur un autre port)

ou alors, vu que tu parles d'une interface externe $EXTERNAL_IF, ca
suppose que tu as une $INTERNAL_IF ?, si tu traverse un firewall il
faut mettre les regles sur la Chaine FORWARD au lieu d'input/output