IPTABLE FTP: Lenteur pour les Cmdes LS et DIR
bigbigtiti
Messages postés
8
Statut
Membre
-
bigbigtiti Messages postés 8 Statut Membre -
bigbigtiti Messages postés 8 Statut Membre -
Bonjour ,
J'utilise Linux 7.2 , noyaux 2.4 et Iptables.
J'ai mis en place un pont transparent filtrant
sur un reseau existant. 3 Interfaces EXT - INT - DMZ
|----INT 192.168.5.0/24
DHCP - DNS EXT-----|
LAN-LABO |----DMZ FTP - WEB
Les machines sur le LAN de l'interface EXT accedent au
serveur FTP sans problème. (NcFtp) EXT2DMZ OK
Les soucis viennent de INT2DMZ, Les connexions se font
normalement mais avec un temps d'attente de 5 à 8 secondes.
J'ai résolut le temps d'attente à la connexion en ouvrant
le port 113 pour AUTH mais le pb. supsiste pour les cmdes
ls et dir.
J'ai autorisé DNS 53 et DHCP 67:68 sur les interfaces
DMZ et INT mais je ne sais pas ce qui coince......
et régle ajouter.
J'ai les mêmes régles pour EXT2DMZ et INT2DMZ.
Merci.
bigbigtiti
J'utilise Linux 7.2 , noyaux 2.4 et Iptables.
J'ai mis en place un pont transparent filtrant
sur un reseau existant. 3 Interfaces EXT - INT - DMZ
|----INT 192.168.5.0/24
DHCP - DNS EXT-----|
LAN-LABO |----DMZ FTP - WEB
Les machines sur le LAN de l'interface EXT accedent au
serveur FTP sans problème. (NcFtp) EXT2DMZ OK
Les soucis viennent de INT2DMZ, Les connexions se font
normalement mais avec un temps d'attente de 5 à 8 secondes.
J'ai résolut le temps d'attente à la connexion en ouvrant
le port 113 pour AUTH mais le pb. supsiste pour les cmdes
ls et dir.
J'ai autorisé DNS 53 et DHCP 67:68 sur les interfaces
DMZ et INT mais je ne sais pas ce qui coince......
et régle ajouter.
J'ai les mêmes régles pour EXT2DMZ et INT2DMZ.
Merci.
bigbigtiti
A voir également:
- IPTABLE FTP: Lenteur pour les Cmdes LS et DIR
- Core ftp - Télécharger - Téléchargement & Transfert
- Typsoft ftp server - Télécharger - Téléchargement & Transfert
- Ftp voyager - Télécharger - Téléchargement & Transfert
- Url ftp ✓ - Forum Wordpress
- Ftp 503 use auth first - Forum Réseau
3 réponses
Oulalala!!!
FTP est un protocol en bois car il passe l'ip et le port de connexion au niveau applicatif. Si tu utilises du NAT entre ta DMZ et INT, tu dois inserer le module de gestion FTP pour le nat: ip_nat_ftp .
Dans tous les cas il faut que le firewall soit capable d'accepter les connexions DATA (cad quand tu fais un LS) dynamiquement. Pour cela il y a un module de suivi de connexions specifiques : ip_conntrack_ftp .
Cela sous entend que tu utilises l'extension de IPTables "state" et que tu acceptes les connexions RELATED pour le trafic FTP.
Comment inserer un module dans le noyau:
insmod -k <nom du module>
Voila, j'espere t'avoir un peu aidé!
FTP est un protocol en bois car il passe l'ip et le port de connexion au niveau applicatif. Si tu utilises du NAT entre ta DMZ et INT, tu dois inserer le module de gestion FTP pour le nat: ip_nat_ftp .
Dans tous les cas il faut que le firewall soit capable d'accepter les connexions DATA (cad quand tu fais un LS) dynamiquement. Pour cela il y a un module de suivi de connexions specifiques : ip_conntrack_ftp .
Cela sous entend que tu utilises l'extension de IPTables "state" et que tu acceptes les connexions RELATED pour le trafic FTP.
Comment inserer un module dans le noyau:
insmod -k <nom du module>
Voila, j'espere t'avoir un peu aidé!
question : as tu "ouvert" le port ftpdata (20)?
essaie avec un sniffer, regarde les trames qui passent entre un client et le serveur ftp (un sniffer de chque cote du fw)
.O
(_)__... Castor
essaie avec un sniffer, regarde les trames qui passent entre un client et le serveur ftp (un sniffer de chque cote du fw)
.O
(_)__... Castor
J'ai trouvé mon problème,
##### FTP SERVEUR : Accés au serveur FTP de la DMZ de INTERNAL
iptables -A INT2DMZ -p tcp --dport 21 \
-m state --state NEW,ESTABLISHED -j LOG_ACCEPT
iptables -A INT2DMZ -p tcp --dport 20 \
-m state --state ESTABLISHED -j LOG_ACCEPT
iptables -A INT2DMZ -p tcp --dport 1024:65535 \
-m state --state NEW,ESTABLISHED -j LOG_ACCEPT
En remplacant dans la dernière règle NEW,ESTABLISHED par ESTABLISHED,RELATED tous va mieux. :-)
bigbigtiti
##### FTP SERVEUR : Accés au serveur FTP de la DMZ de INTERNAL
iptables -A INT2DMZ -p tcp --dport 21 \
-m state --state NEW,ESTABLISHED -j LOG_ACCEPT
iptables -A INT2DMZ -p tcp --dport 20 \
-m state --state ESTABLISHED -j LOG_ACCEPT
iptables -A INT2DMZ -p tcp --dport 1024:65535 \
-m state --state NEW,ESTABLISHED -j LOG_ACCEPT
En remplacant dans la dernière règle NEW,ESTABLISHED par ESTABLISHED,RELATED tous va mieux. :-)
bigbigtiti
Je ne fais pas de Nat et j'ai bien le modul ip_conntrack_ftp.
et mes sont établies avec state et RELATED.
Et je ne sais pas du tout ce qui sa passe
lorsque je fais un "ls" ou un "dir".
Attendent-ils une authentification du serveur FTP ou la localisation
du client ??? par quel protocol.... je ne sais plus quoi tester.
bigbigtiti