[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Firewall Pb de [was : sites FTP de NetBSD ]


From Vincent MAHE <vmahe at free dot fr>
Subject Re: [gulliver] Firewall Pb de [was : sites FTP de NetBSD ]
Date Sun, 06 Mar 2005 22:48:31 +0100

Vincent MAHE a écrit :

Yohann a écrit :

Vincent MAHE wrote:

Salut.

J'essaie de me connecter aux sites FTP du système NetBSD, sans succès.

Je ne sais pas si ça vient de ma distrib (Ubuntu Warthy récemment installée), de mes manips (tentatives via Firefox, gFTP et Nautilus) ou d'un problème NetBSD ?

Quelqu'un aurait-il des infos ?

Vincent




Salut,

Pour ma part  je n'ai pas de problèmes à me connecter à :
ftp://ftp.netbsd.org/pub/NetBSD/



Désolé pour le mauvais énoncé du problème. Je viens de penser que ça venait sans doute de mon firewall confectionné à la mano :
J'ai pourtant autorisé "ftp" et "ftp-data" !!!


Il fallait ajouter le support des connexions passives sur ports aléatoires, comme l'indiquait David, d'où le nouveau script :

----------------------------------------------------
#!/bin/sh

# script /etc/firewall.sh
# Créé par VM le 2/3/2005
# Base : http://lea-linux.org/reseau/murdefeu.html

# Variables du script :
IPTABLES=/sbin/iptables
INTERNAL_100="eth0"
INTERNAL_COAX="eth1"
EXTERNAL_IF="eth2"

# Modules noyau utiles :
modprobe ip_conntrack_ftp

# Tout rejeter par defaut :
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

# On accepte le trafic sur "lo"
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A FORWARD -i lo -j ACCEPT
$IPTABLES -A FORWARD -o lo -j ACCEPT

# On accepte le trafic sur les deux interfaces internes
$IPTABLES -A INPUT -i $INTERNAL_100 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTERNAL_100 -j ACCEPT
$IPTABLES -A FORWARD -i $INTERNAL_100 -j ACCEPT
$IPTABLES -A FORWARD -o $INTERNAL_100 -j ACCEPT
$IPTABLES -A INPUT -i $INTERNAL_COAX -j ACCEPT
$IPTABLES -A OUTPUT -o $INTERNAL_COAX -j ACCEPT
$IPTABLES -A FORWARD -i $INTERNAL_COAX -j ACCEPT
$IPTABLES -A FORWARD -o $INTERNAL_COAX -j ACCEPT

### Partager la connexion Internet
# Activer le partage au niveau du noyau
echo 1 > /proc/sys/net/ipv4/ip_forward
# Masquer les autres machines locales derrière le pare-feu
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_IF -j MASQUERADE

### Autoriser des connexions
# Les nouvelles connexions ne sont pas autorisées en INPUT
# Par contre, il faut accepter celles d'une connexion existante
$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp -m multiport --sports domain,http,https,ftp,ftp-data,pop-3,smtp,ssh -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp -m multiport --dports domain,http,https,ftp,ftp-data,pop-3,smtp,ssh -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $EXTERNAL_IF -p udp --sport domain -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p udp --dport domain -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


*# Autoriser les connexions secondaires sur ports aléatoires
# (ftp passif, irc,..) et les nouvelles en sortie pour le DCC (irc)
$IPTABLES -A INPUT -i $EXTERNAL_IF -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTERNAL_IF -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
*----------------------------------------------------


Maintenant, le FTP passif marche.

Désolé pour les dérangements

A+

Vincent