Re: [gulliver] Quels ports en FTP "passive mode"

[David Fort <david dot fort44 at wanadoo dot fr>]

Thomas Petazzoni wrote:

> Salut,
>
> On Thu, 29 Dec 2005 18:25:37 +0100
> Vincent MAHE <vmahe at free dot fr> wrote:
>
>  
>
> > $IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp -m multiport --sports
> >   domain,http,https,ftp,ftp-data,pop-3,smtp,ssh -m state --state
> >   ESTABLISHED,RELATED -j ACCEPT
> > $IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp -m multiport --dports
> >   domain,http,https,ftp,ftp-data,pop-3,smtp,ssh -m state --state
> >   NEW,ESTABLISHED,RELATED -j ACCEPT
> >    
>
> Ces lignes ne laissent passer les paquets de connexions établies
> seulement sur les ports domain,http,https,...
>
> Si tu veux que le mode passif marche, il faut laisser passer les
> paquets de connexions établies sur tous les ports, puisque le port est
> attribué dynamiquement (souvent un port > 30000). C'est ce que font les
> lignes proposées par Fred Lemasson.
>
> En gros, il faut en entrée accepter:
> - les paquets de nouvelles connexions sur certains ports seulement
> (http, https, ftp, etc.)
> - les paquets de connexions déjà établies et ce sur n'importe quel port
>
> Bonne soirée,
>
> Thomas
>  
Le mieux ce ne serait pas de charger le module "ip_conntrack_ftp" qui 
peux suivre les connections FTP ?

My 2 euros cents....

--
FORT David
Codito ergo sum - I code therefore i am