[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Quels ports en FTP "passive mode"


From Thomas Petazzoni <thomas dot petazzoni at enix dot org>
Subject Re: [gulliver] Quels ports en FTP "passive mode"
Date Thu, 29 Dec 2005 19:22:39 +0100

Salut,

On Thu, 29 Dec 2005 18:25:37 +0100
Vincent MAHE <vmahe at free dot fr> wrote:

> $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp -m multiport --sports
>    domain,http,https,ftp,ftp-data,pop-3,smtp,ssh -m state --state
>    ESTABLISHED,RELATED -j ACCEPT
> $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp -m multiport --dports
>    domain,http,https,ftp,ftp-data,pop-3,smtp,ssh -m state --state
>    NEW,ESTABLISHED,RELATED -j ACCEPT

Ces lignes ne laissent passer les paquets de connexions établies
seulement sur les ports domain,http,https,...

Si tu veux que le mode passif marche, il faut laisser passer les
paquets de connexions établies sur tous les ports, puisque le port est
attribué dynamiquement (souvent un port > 30000). C'est ce que font les
lignes proposées par Fred Lemasson.

En gros, il faut en entrée accepter:
 - les paquets de nouvelles connexions sur certains ports seulement
(http, https, ftp, etc.)
 - les paquets de connexions déjà établies et ce sur n'importe quel port

Bonne soirée,

Thomas
-- 
PETAZZONI Thomas - thomas dot petazzoni at enix dot org 
http://{thomas,sos,kos}.enix.org - Jabber: thomas dot petazzoni at jabber dot dk
http://{agenda,livret}dulibre.org - http://www.toulibre.org
Fingerprint: 0BE1 4CF3 CEA4 AC9D CC6E  1624 F653 CB30 98D3 F7A7

Attachment: signature.asc
Description: PGP signature