IPTABLE FTP: Lenteur pour les Cmdes LS et DIR
Fermé
bigbigtiti
Messages postés
8
Date d'inscription
jeudi 6 juin 2002
Statut
Membre
Dernière intervention
12 août 2008
-
7 juin 2002 à 12:06
bigbigtiti Messages postés 8 Date d'inscription jeudi 6 juin 2002 Statut Membre Dernière intervention 12 août 2008 - 18 juin 2002 à 11:33
bigbigtiti Messages postés 8 Date d'inscription jeudi 6 juin 2002 Statut Membre Dernière intervention 12 août 2008 - 18 juin 2002 à 11:33
A voir également:
- IPTABLE FTP: Lenteur pour les Cmdes LS et DIR
- Core ftp - Télécharger - Téléchargement & Transfert
- Filezilla ftp - Télécharger - Téléchargement & Transfert
- Ftp utility - Forum Réseau
- Ftp localhost ✓ - Forum Réseau
- Ftp //192.168.l.2121 - Forum Réseau
3 réponses
memo
Messages postés
49
Date d'inscription
mardi 10 octobre 2000
Statut
Membre
Dernière intervention
29 novembre 2002
1
8 juin 2002 à 17:14
8 juin 2002 à 17:14
Oulalala!!!
FTP est un protocol en bois car il passe l'ip et le port de connexion au niveau applicatif. Si tu utilises du NAT entre ta DMZ et INT, tu dois inserer le module de gestion FTP pour le nat: ip_nat_ftp .
Dans tous les cas il faut que le firewall soit capable d'accepter les connexions DATA (cad quand tu fais un LS) dynamiquement. Pour cela il y a un module de suivi de connexions specifiques : ip_conntrack_ftp .
Cela sous entend que tu utilises l'extension de IPTables "state" et que tu acceptes les connexions RELATED pour le trafic FTP.
Comment inserer un module dans le noyau:
insmod -k <nom du module>
Voila, j'espere t'avoir un peu aidé!
FTP est un protocol en bois car il passe l'ip et le port de connexion au niveau applicatif. Si tu utilises du NAT entre ta DMZ et INT, tu dois inserer le module de gestion FTP pour le nat: ip_nat_ftp .
Dans tous les cas il faut que le firewall soit capable d'accepter les connexions DATA (cad quand tu fais un LS) dynamiquement. Pour cela il y a un module de suivi de connexions specifiques : ip_conntrack_ftp .
Cela sous entend que tu utilises l'extension de IPTables "state" et que tu acceptes les connexions RELATED pour le trafic FTP.
Comment inserer un module dans le noyau:
insmod -k <nom du module>
Voila, j'espere t'avoir un peu aidé!
Utilisateur anonyme
11 juin 2002 à 17:10
11 juin 2002 à 17:10
question : as tu "ouvert" le port ftpdata (20)?
essaie avec un sniffer, regarde les trames qui passent entre un client et le serveur ftp (un sniffer de chque cote du fw)
.O
(_)__... Castor
essaie avec un sniffer, regarde les trames qui passent entre un client et le serveur ftp (un sniffer de chque cote du fw)
.O
(_)__... Castor
bigbigtiti
Messages postés
8
Date d'inscription
jeudi 6 juin 2002
Statut
Membre
Dernière intervention
12 août 2008
18 juin 2002 à 11:33
18 juin 2002 à 11:33
J'ai trouvé mon problème,
##### FTP SERVEUR : Accés au serveur FTP de la DMZ de INTERNAL
iptables -A INT2DMZ -p tcp --dport 21 \
-m state --state NEW,ESTABLISHED -j LOG_ACCEPT
iptables -A INT2DMZ -p tcp --dport 20 \
-m state --state ESTABLISHED -j LOG_ACCEPT
iptables -A INT2DMZ -p tcp --dport 1024:65535 \
-m state --state NEW,ESTABLISHED -j LOG_ACCEPT
En remplacant dans la dernière règle NEW,ESTABLISHED par ESTABLISHED,RELATED tous va mieux. :-)
bigbigtiti
##### FTP SERVEUR : Accés au serveur FTP de la DMZ de INTERNAL
iptables -A INT2DMZ -p tcp --dport 21 \
-m state --state NEW,ESTABLISHED -j LOG_ACCEPT
iptables -A INT2DMZ -p tcp --dport 20 \
-m state --state ESTABLISHED -j LOG_ACCEPT
iptables -A INT2DMZ -p tcp --dport 1024:65535 \
-m state --state NEW,ESTABLISHED -j LOG_ACCEPT
En remplacant dans la dernière règle NEW,ESTABLISHED par ESTABLISHED,RELATED tous va mieux. :-)
bigbigtiti
10 juin 2002 à 11:36
Je ne fais pas de Nat et j'ai bien le modul ip_conntrack_ftp.
et mes sont établies avec state et RELATED.
Et je ne sais pas du tout ce qui sa passe
lorsque je fais un "ls" ou un "dir".
Attendent-ils une authentification du serveur FTP ou la localisation
du client ??? par quel protocol.... je ne sais plus quoi tester.
bigbigtiti