IPCOP et accès FTPFermé

Question

Salut!

J'ai configuré ipcop V1.4 en green orange red.
En red freebox en dhcp
En orange serveur FTP (vsftpd)
En green poste clients xp pro

mon serveur étant ds la dmz j'ai débloquer des ports pour pouvoir accès au ftp depuis l'extérieur

dans transfert de port j'ai fais ceci:

TCP DEFAULT IP : 20 (FTP-DATA) 192.168.2.2 : 20 (FTP-DATA)
TCP DEFAULT IP : 21 (FTP) 192.168.2.2 : 21 (FTP) Service FTP

192.168.2.2 est l'@ IP de mon serveur sur la dmz

Puis dans accès externes :

TCP TOUT DEFAULT IP 20
TCP TOUT DEFAULT IP 21

Lorsque je me connect via l'ip de mon serveur depuis le green cela fonctionne.

Par contre si je met l'ip de ma connection internet (freebox) cela ne marche pas tjs a partir du green.

Je sais aussi qu'il y a le pb du ftp en mode passif ou actif.
Il faut mieux etre en pasif d'après ce que j'ai lu, mais c'est le client qui veut se connecté au ftp qui décide et comment?

Merci

kelux · Answer

salut !

Il faut que tu demandes à des personnes de l'extérieur de tester pour toi...

Le client FTP décide effectivement de faire du passif ou de l'actif ...

Pour le passif: il y a une commande qu'il envoie PASV (je crois que c'est celle ci) avec les ports qui vont etre utilisés pour le transfert de données (ports supérieurs à 1024 coté clients et serveurs).

Le firewall (netfilter), grace aux deux modules ip_nat_ftp et ip_conntrack_ftp, peut inspecter ce qui se passe sur le port 21 et connaitre ainsi les ports qui vont etre utilisés pour le transfert de données...

Il est conseillé que tu créés un "range" de ports hauts dédiés au transfert passif du serveur ftp en DMZ, tu dois ainsi forwarder cette range de ports sur le serveur FTP en DMZ (genre tu prends 60000-61000) , cela dépend aussi du nombre de clients qui vont fréquenter ton serveur ...
N'oublies de configurer vsftpd avec les highports ...

Cela dit je n'ai toujours rien compris à l'interface graphique de Ipcop concernant le forward de port ... par contre en ligne de commande je trouve ca plus logique ....

Luc L.
[Gentoo] enfin :Þ

rjcb · Answer

Salut,

Si j'ouvre d'autres ports a partor du 60000 cela va encore réduire la sécirité? je croyais qu'il y avait que 2 ports a ouvrir?

Pouves vous me dire autrement si la manip est correct au niveau des ports débloqués (20 et 21)
Sinon de l'extérieur le ftp ne veut pas marcher.
Merci

kelux · Answer

Salut ,Si j'ouvre d'autres ports a partor du 60000 cela va encore réduire la sécirité?Mettre un serveur FTP est déja une faille de sécurité ... un port ouvert n'est pas forcément "unsecure".... ca dépend quel service est à l'écoute sur ce port et comment ce service est sécurisé ...De plus tout est "forwardé" dans la DMZ (pour les ports considérés), donc quoiqu'il arrive ce n'est pas très grave puisque c'est une zone rendue publique, les ports ouverts vus de l'extérieur sont ceux de la DMZ en fait ....je croyais qu'il y avait que 2 ports a ouvrir?Dans le cadre du FTP actif seulement :)Le majeur problème de l'administration d'un serveur FTP réside dans son mode de fonctionnement passif ou actif, tout cela derriere du NAT en plus ...J'aborde en premier le probleme de filtrage:Les clients sont situés derriere un parefeu, une transaction FTP se fait en deux temps et avec deux canaux , un pour les commandes (21) un pour les données (20 pour l'actif, >1024 pour le passif). Le problème pour l'actif c'est que le serveur initialise la seconde connexion pour le transfert de données, le parefeu du client refuse alors cette connexion considérée comme "nouvelle", donc non autorisée (cas des principaux firewall personnels mal configurés). D'un point de vue "firewalling" c'est plus facile à gérer pour l'administrateur du serveur FTP car le filtrage s'effectue sur deux ports connus à l'avance (20 et 21)., du coté client c'est marron , on ne va pas aller configurer le firewall des gens a leur place ....Donc le passif est moins contraignant pour les clients, ce sont eux qui initialisent la seconde connexion vers le serveur FTP pour commencer le transfert de données. D'un point de vue "firewalling" c'est un peu plus délicat, on ne connait pas à l'avance le port utilisé pour la seconde connexion (que le firewall du FTP acceptera), on est donc obligé d'ouvrir une gamme de port (au dessus de 1024) . Toutefois j'ai dit "ouvrir" , pas tout à fait l'état du paquet est NEW mais ce paquet est relatif à une connexion déja établie --> il est donc RELATED.... On ne verra pas ces ports comme étant ouverts ... On essaie alors de restreindre, au moins du coté serveur, la gamme de port utilisée pour simplifier le filtrage au niveau du parefeu...Sinon de l'extérieur le ftp ne veut pas marcher.C'est presque normal ; deux cas sont possibles : le filtrage ... ou sinon le NAT. J'aborde la deuxieme difficulté : le masquerade.Le masquerade s'effectue au niveau de la connexion PPP (internet), donc tout ce qui sort vers le net sera naté et "paté" (ah ah c'est drole .... bof...), par contre tout ce qui va vers le lan depuis la DMZ ne l'est pas !! C'est pour cela que le ftp marche avec le réseau local...Il faut donc vérifier si ces deux modules ip_nat_ftp et ip_conntrack_ftp sont chargés (ou en dur dans le noyau).Le premier sert à gérer les ports lors des transferts FTP (savoir quel port a été utilisé par qui ).Le second sert au firewall à inspecter ce qui se passe sur le port 21 pour qu'il puisse connaitre sur quel port s'effectuera le transfert de données entre les hotes...Bref on ne va pas trop s'étendre non plus :)Pouves vous me dire autrement si la manip est correct au niveau des ports débloqués (20 et 21)Avec IPcop je ne sais pas comment est géré le filtrage concretement ... ainsi que le forward de port ...je préfère nettement la syntaxe avec iptables...En tout cas la manipulation n'est pas complète , il faut permettre le passif, cela se fait au niveau des règles de filtrage...comme l'actif pose problème avec le parefeu des clients on peut expliquer pourquoi ton ftp ne marche pas ....Si tu ne t'en sors pas je te donnerais les règles IPTABLES à rajouter à la main.Regarde si les deux modules sont chargés , s'ils ne sont pas chargés ce n'est pas étonnant que ça foire... pour cela un "lsmod" suffit.Bonne soirée.Luc L.[Gentoo] enfin :Þ

rjcb · Answer

Tout d'abord chapeau!!! car des explication aussi bien faites c'est très très très rare.

Bon pour mon ftp je vais donc le faire marcher en passif, pas le choix. Tu m'as dit d'ouvrir des ports mais au dessus de 1024, mais combien? Pour les ouvirir, il faut que j'ouvre les port en externes et que je fasse aussi du transfert de port vers la dmz.
de plus j'ai pas tout compris le fait qu'ils allaient ppas etre vraiment ouvert.

De plus j'ai vérifié:Il faut donc vérifier si ces deux modules ip_nat_ftp et ip_conntrack_ftp sont chargés (ou en dur dans le noyau).
ip_nat_ftp n'est pas utilisé et ip_conntrack_ftp est utilisé.
C'est ce que ressort d'un lsmod ( assez complexe pour moi)
Il faut donc que j'en charge un mais comment?
Merci de ton aide

kelux · Answer

Salut !

Donc pour charger les modules nécessaires, il faut utliser la commande "modprobe nom_du_module". Dans notre cas :

modprobe ip_nat_ftp

Maintenant je vais te donner les règles de filtrage pour faire marcher tout ça :

#Je définis qq variables basiques :
red=ppp0
green=eth0
orange=eth1
IP_FTP=ip du serveur FTP en DMZ
high_ports=60000:61000

#On fait le forward des ports
#on utilise la table NAT
iptables -t nat -A PREROUTING -i $red -p tcp --dport 21 -j DNAT --to-destination IP_FTP:21

iptables -t nat -A PREROUTING -i $red -p tcp --dport 20 -j DNAT --to-destination IP_FTP:20

iptables -t nat -A PREROUTING -i $red -p tcp --dport $high_ports -j DNAT --to-destination IP_FTP

#on s'occupe du filtrage
iptables -A FORWARD -i $red -o $orange -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i $orange -o $red -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -i $red -o $orange -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -i $orange -o $red -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i $red -o $orange -p tcp --sport 1024: --dport $hight_ports -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i $orange -o $red -p tcp --sport $high_ports --dport 1024: -m state --state ESTABLISHED -j ACCEPT

Voila .... par contre je ne me suis occupé juste du traffic entre la DMZ et le NET (dans les deux sens), je ne me suis pas occupé du LAN et de la DMZ. IPCOP doit avoir ses propres règles pour gérer cela....

N'oublies pas dans la config de vsftpd de spécifier les highports 60000-61000 (on peut prendre n'importe quelle gamme de port ...)

Avec tout ca, cela devrait fonctionner ....au moins avant toute chose teste en chargeant juste le module ip_nat_ftp, apres tu trifouilles tes règles de filtrage ...

Luc L.
[Gentoo] enfin :Þ

kelux · Answer

désolé je crois que j'ai oublié une ligne... (ou sinon elle n'apparait pas dans mon navigateur, j'ai qq souci avec Konqueror en ce moment avec la balise "code", je verrai sous Windows avec FireFox ....donc je la rajoute au cas ou)

iptables -A FORWARD -i $orange -o $red -p tcp --sport $high_ports --dport 1024: -m state --state ESTABLISHED -j ACCEPT

D'ailleurs j'ai fait une toute petite faute à la derniere ligne , ce n'est pas $hight_ports mais $high_ports (un "t" s'est glissé ...)

Luc L.
[Gentoo] enfin :Þ

rjcb · Answer

Salut,

C'est cool tu m'aides bcp j'apprécie.
Donc je suis débutant tu as du le remarquer.
Je dois donc editer le fichier rc.firewall
Je fais cela via putty.
Puis lorsque je suis dedans j'appuie sur enter et cela défile jusqu'a la fin mais je n'arrive pas a éditer celui ci.
De plus je peux placer ces lignes de commandes ou je veux.

Merci

mysthair · Answer

Salut rjcb,
J'ai un serveur ftp caché derriere un parrefeu ipcop 1.4 mais il est en GREEN et tout fonctionne chez moi

MAIS je n'ai ouvert (et transféré) QUE LE PORT 21 !

je ne comprend pas pourquoi ouvrir le port 20 et encore moins d'autre port!

rjcb · Answer

Salut,Tu as vsftpd comme serveur ftp?Tu as ouvert juste le port 21 en externe et en transfert de port?Merci

kelux · Answer

Hello :)

Je vais éviter les balises, désolé si ce n'est pas tres clair ...

Réponse à rjcb
"Puis lorsque je suis dedans j'appuie sur enter et cela défile jusqu'a la fin mais je n'arrive pas a éditer celui ci."

Tu édites ce fichier avec "vi" j'imagine , il faut appuyer sur "inser" (au dessus de suppr) , tu verras apparaitre Insertion en bas de l'éditeur , tu modifies ou rajoutes les lignes en conséquence ... ensuite pour sauvegarder tu appuies sur "echap" , puis ":" puis "x" et enfin on vailde avec "entrée" , x correspond a "sauvegarder et quitter" , si tu ne veux pas sauvegarder et quitter malgré les modifications, tu fais "q!" à la place de "x"....
Par contre le fichier rc.firewall, je ne sais pas du tout si c'est bon de le modifier (je ne sais pas comment est faite Ipcop ... je sais à peu près ce que c'est quand meme :) . Le mieux est de rajouter un script personnel que tu appelles dans rc.firewall ...

Voila comment faire :
Tu créés un fichier firewall-perso.sh , tu rajoutes les règles citées plus haut dans mes posts, tu sauvegardes, tu fais un "chmod +x firewall-perso.sh" , comme cela il sera exécutable.
Tu le places dans /etc par exemple.
Ensuite tu édites le fichier rc.firewall et tu ajoutes cette ligne à la fin "/etc/firewall-perso.sh"
Et voila :)

Par contre je me répète : je ne sais pas quel est l'effet du script rc.firewall, à savoir s'il fait juste vider les chaines du pare feu, ou bien s'il ajoute des règles complètes... je me pencherai sur ce script ce week end...

Réponse a Mysthair:

Le fait de mettre ton serveur en GREEN est une solution certes... mais créer une DMZ (orange pour ipcop) est une meilleure solution et plus sécurisée , car on ne peut pas rebondir sur une de tes machines du LAN si l'on est en DMZ...(en théorie :) , une DMZ engendre beaucoup d'autres sécurités qui ne sont pas basées seulement sur du filtrage...)

"je ne comprend pas pourquoi ouvrir le port 20 et encore moins d'autre port!"

Pourtant c'est le principe du FTP ... utiliser deux canaux de transmission, voir ici :
http://www.commentcamarche.net/internet/ftp.php3

Si cela marche , c'est que des règles par défaut au niveau d'Ipcop permettent la connexion sur le canal de données (passif ou actif) , notamment des règles avec RELATED sur l'état des paquets...

Si tu n'utilisais pas Ipcop pour faire du firewalling, tu te rendrais compte de ça, il faudrait créer toutes les règles de filtrage, celles concernant le FTP ne sont pas les plus simples !!

Bon week end à vous ,

I come back soon...

Luc L.
[Gentoo] enfin :Þ

rjcb · Answer

Salut!

Je récapitule ce que j'ai fait:

J'ai installé ipcop par défaut en changeant rien.
Puis j'ai créer un fichier firewall-perso.sh avec les lignes de commandes que tu m'as donnés.
J'ai ensuite ajouté une dernière ligne sur rc.firewall afin de le prendre en compte.
J'ai redémarré le pc ipcop.
Puis maintenant il faut que je onfigure vsftpd pour la plage des ports autorisés à partir de 1024. je crois que les commandes sont pasvmax et pasvmin.
Je redémarre le serveur ftp.
Puis il y avait le pb de vérifier si ces deux modules ip_nat_ftp et ip_conntrack_ftp sont chargés (ou en dur dans le noyau).
Ca par contre j suis pas sur.
Après tt ces manip tjs des pb pour se connecter.

Merci

kelux · Answer

Salut me revoilou !

Pour le script perso , j'ai oublié une chose ... arf désolé , il faut mettre à la premiere ligne :
#!/bin/sh

Ensuite j'ai vu que tu avais une freebox, la fonction routeur doit etre désactivée (vu que c'est Ipcop ton routeur ...). La freebox doit agir comme un modem....

Je me demande si rajouter à la fin du script rc.firewall la ligne appelant le script perso est la bonne solution... en effet lorsqu'on fait du filtrage les règles vont etre traitées dans l'ordre ou elles ont été entrées dans le script....à savoir si des lignes au dessus traitent déja les paquets pour le ftp ... c'est marron :) (notamment pour les règles avec le forward de port , PREROUTING devrait etre au début du script avant les regles de filtrage...)

Autre chose , il faudrait se demander, en plus du probleme évoqué au paragraphe précédent, si les règles du script perso sont bien prises en compte ... on vérifie cela avec la commande "iptables -L" et "iptables -t nat -L" pour la table nat.

Les paramètres pour vsftpd concernant les ports hauts ne sont pas ceux que tu m'as donné , il s'agit de :
pasv_max_port et pasv_min_port .
Par défaut ces valeurs sont à 0 cela équivaut à "tous les ports".

Concernant les deux modules INDISPENSABLES, vérifie s'ils sont chargés avec la commande "lsmod" .
Car quand tu redémarres ton Ipcop les modules chargés à l'aide de la commande "modprobe" doivent chargés manuellement à chaque démarrage...
Il faut impérativement que les deux modules soient chargés lors de tes tests.

Dis moi ou tu en es apres ces quelques modifications supplémentaires.

PS: j'avais effectivement des problèmes avec Konqueror (je m'en méfie de toute façon de celui la !! ) , avec firefox no problemo, désolé du dérangement.

Luc L.
[Gentoo] enfin :Þ

rjcb · Answer

Salut!

Reprenons dans l'ordre parce que c'est assez complex mine de rien!!

Concernant juste le FTP voici mon fichier de config vsftpd.conf:

ftpd_banner=Welcome to RJC FTP service.

#L'anonnyme
anonymous_enable=no
anon_upload_enable=no
anon_mkdir_write_enable=no
anon_other_write_enable=no

local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES

#Sécurité
userlist_enable=YES
userlist_file=/etc/vsftpd/vsftpd_user.deny
chroot_list_enable=yes
chroot_local_user=no
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
ls_recurse_enable=no
guest_enable=no

#Caractéristiques
#ascii_upload_enable=no
#ascii_download_enable=YES
listen=YES
tcp_wrappers=YES
chown_uploads=no
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
#max_client=10
pam_service_name=vsftpd
#pasv_max_port = 61000
#pasv_min_port = 60000
#pasv_enable = yes

#Performance
one_process_model=no
idle_session_timeout=120
connect_timeout=60

Déja il y a un problème car lorsque j'active les fonctions liées au mode passif et que je relance le ftp jai ce message:

vsftpd est mort mais subsys est vérouillé.
Le testparm me dit que tout est bien!
Je travail sur une redhat V9

Puis miracle pour l'instant quelques utilisateurs arrivent à se connecter. (mais pas tous pb de mode actif ou passif j pense)

J'ai mis tes conseils en application.

le lsmod me donne:
root@RJCIPCOP:~ # lsmod
Module Size Used by Not tainted
ipt_MASQUERADE 1336 1 (autoclean)
ipt_TCPMSS 2456 1 (autoclean)
ipt_state 664 14 (autoclean)
ipt_REJECT 3288 1 (autoclean)
ipt_LOG 3808 9 (autoclean)
ipt_limit 952 10 (autoclean)
iptable_mangle 2256 0 (autoclean) (unused)
iptable_filter 1764 1 (autoclean)
8139too 13096 3
mii 2304 0 [8139too]
crc32 2848 0 [8139too]
usb-uhci 21036 0 (unused)
ip_nat_quake3 2024 0 (unused)
ip_conntrack_quake3 2056 1
ip_nat_proto_gre 1412 0 (unused)
ip_nat_pptp 2412 0 (unused)
ip_conntrack_pptp 2960 1
ip_conntrack_proto_gre 2196 0 [ip_nat_pptp ip_conntrack_pptp]
ip_nat_mms 3056 0 (unused)
ip_conntrack_mms 3312 1
ip_nat_irc 2544 0 (unused)
ip_conntrack_irc 3184 1
ip_nat_h323 2700 0 (unused)
ip_conntrack_h323 2320 1
ip_nat_ftp 3248 0 (unused)
ip_conntrack_ftp 3888 1
iptable_nat 16664 8 [ipt_MASQUERADE ip_nat_quake3 ip_nat_proto_gre ip_nat_pptp ip_nat_mms ip_nat_irc ip_nat_h323 ip_nat_ftp]
ip_conntrack 19948 7 [ipt_MASQUERADE ipt_state ip_nat_quake3 ip_conntrack_quake3 ip_nat_pptp ip_conntrack_pptp ip_conntrack_proto_gre ip_nat_mms ip_conntrack_mms ip_nat_irc ip_conntrack_irc ip_nat_h323 ip_conntrack_h323 ip_nat_ftp ip_conntrack_ftp iptable_nat]
ip_tables 11576 11 [ipt_MASQUERADE ipt_TCPMSS ipt_state ipt_REJECT ipt_LOG ipt_limit iptable_mangle iptable_filter iptable_nat]
acm 5120 0 (unused)
keybdev 1792 0 (unused)
hid 22756 0 (unused)
input 3360 0 [keybdev hid]
sd_mod 10444 0 (unused)
usb-storage 24088 0 (unused)
scsi_mod 55488 1 [sd_mod usb-storage]
usbcore 56768 1 [usb-uhci acm hid usb-storage]
apm 9088 0
root@RJCIPCOP:~ #

iptables -L me donne:

Chain INPUT (policy DROP)
target prot opt source destination
ipac~o all -- anywhere anywhere
BADTCP all -- anywhere anywhere
tcp -- anywhere anywhere tcp flags:SYN,RST,ACK/SYN limit: avg 10/sec burst 5
CUSTOMINPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT !icmp -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere
DHCPBLUEINPUT all -- anywhere anywhere
IPSECRED all -- anywhere anywhere
IPSECBLUE all -- anywhere anywhere
WIRELESSINPUT all -- anywhere anywhere
REDINPUT all -- anywhere anywhere
XTACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `INPUT '

Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
BADTCP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere
WIRELESSFORWARD all -- anywhere anywhere
REDFORWARD all -- anywhere anywhere
DMZHOLES all -- anywhere anywhere state NEW
PORTFWACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ipac~i all -- anywhere anywhere
CUSTOMOUTPUT all -- anywhere anywhere

Chain BADTCP (2 references)
target prot opt source destination
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN
PSCAN tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
NEWNOTSYN tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN state NEW

Chain CUSTOMFORWARD (1 references)
target prot opt source destination

Chain CUSTOMINPUT (1 references)
target prot opt source destination

Chain CUSTOMOUTPUT (1 references)
target prot opt source destination

Chain DHCPBLUEINPUT (1 references)
target prot opt source destination

Chain DMZHOLES (1 references)
target prot opt source destination

Chain IPSECBLUE (1 references)
target prot opt source destination

Chain IPSECRED (1 references)
target prot opt source destination

Chain LOG_DROP (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning
DROP all -- anywhere anywhere

Chain LOG_REJECT (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain NEWNOTSYN (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `NEW not SYN? '
DROP all -- anywhere anywhere

Chain PORTFWACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere 192.168.2.2 tcp dpt:ftp-data
ACCEPT tcp -- anywhere 192.168.2.2 tcp dpt:ftp
ACCEPT tcp -- anywhere 192.168.2.2 tcp dpts:60000:61000

Chain PSCAN (5 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `TCP Scan? '
LOG udp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `UDP Scan? '
LOG icmp -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `ICMP Scan? '
LOG all -f anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `FRAG Scan? '
DROP all -- anywhere anywhere

Chain REDFORWARD (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere

Chain REDINPUT (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:bootps dpt:bootpc
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc

Chain WIRELESSFORWARD (1 references)
target prot opt source destination

Chain WIRELESSINPUT (1 references)
target prot opt source destination

Chain XTACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere lns-vlq-33-xxx-82-xxx-xxx-140.adsl.proxad.net tcp dpt:ident

Chain ipac~fi (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~fo (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~i (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~o (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere
all -- anywhere anywhere

et enfin iptables -t nat -L

Chain INPUT (policy DROP)
target prot opt source destination
ipac~o all -- anywhere anywhere
BADTCP all -- anywhere anywhere
tcp -- anywhere anywhere tcp flags:SYN,RST,A
CK/SYN limit: avg 10/sec burst 5
CUSTOMINPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTAB
LISHED
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT !icmp -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere
DHCPBLUEINPUT all -- anywhere anywhere
IPSECRED all -- anywhere anywhere
IPSECBLUE all -- anywhere anywhere
WIRELESSINPUT all -- anywhere anywhere
REDINPUT all -- anywhere anywhere
XTACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min b
urst 5 LOG level warning prefix `INPUT '

Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
BADTCP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/S
YN TCPMSS clamp to PMTU
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTAB
LISHED
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT all -- anywhere anywhere state NEW
ACCEPT all -- anywhere anywhere
WIRELESSFORWARD all -- anywhere anywhere
REDFORWARD all -- anywhere anywhere
DMZHOLES all -- anywhere anywhere state NEW
PORTFWACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min b
urst 5 LOG level warning prefix `OUTPUT '

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ipac~i all -- anywhere anywhere
CUSTOMOUTPUT all -- anywhere anywhere

Chain BADTCP (2 references)
target prot opt source destination
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,R
ST,PSH,ACK,URG/FIN,PSH,URG
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,R
ST,PSH,ACK,URG/NONE
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN,R
ST,PSH,ACK,URG/FIN
PSCAN tcp -- anywhere anywhere tcp flags:SYN,RST/S
YN,RST
PSCAN tcp -- anywhere anywhere tcp flags:FIN,SYN/F
IN,SYN
NEWNOTSYN tcp -- anywhere anywhere tcp flags:!SYN,RST,
ACK/SYN state NEW

Chain CUSTOMFORWARD (1 references)
target prot opt source destination

Chain CUSTOMINPUT (1 references)
target prot opt source destination

Chain CUSTOMOUTPUT (1 references)
target prot opt source destination

Chain DHCPBLUEINPUT (1 references)
target prot opt source destination

Chain DMZHOLES (1 references)
target prot opt source destination

Chain IPSECBLUE (1 references)
target prot opt source destination

Chain IPSECRED (1 references)
target prot opt source destination

Chain LOG_DROP (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min b
urst 5 LOG level warning
DROP all -- anywhere anywhere

Chain LOG_REJECT (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min b
urst 5 LOG level warning
REJECT all -- anywhere anywhere reject-with icmp-po
rt-unreachable

Chain NEWNOTSYN (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 10/min b
urst 5 LOG level warning prefix `NEW not SYN? '
DROP all -- anywhere anywhere

Chain PORTFWACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere 192.168.2.2 tcp dpt:ftp-data
ACCEPT tcp -- anywhere 192.168.2.2 tcp dpt:ftp
ACCEPT tcp -- anywhere 192.168.2.2 tcp dpts:60000:6100
0

Chain PSCAN (5 references)
target prot opt source destination
LOG tcp -- anywhere anywhere limit: avg 10/min b
urst 5 LOG level warning prefix `TCP Scan? '
LOG udp -- anywhere anywhere limit: avg 10/min b
urst 5 LOG level warning prefix `UDP Scan? '
LOG icmp -- anywhere anywhere limit: avg 10/min b
urst 5 LOG level warning prefix `ICMP Scan? '
LOG all -f anywhere anywhere limit: avg 10/min b
urst 5 LOG level warning prefix `FRAG Scan? '
DROP all -- anywhere anywhere

Chain REDFORWARD (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere

Chain REDINPUT (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:bootps dpt:
bootpc
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:
bootpc

Chain WIRELESSFORWARD (1 references)
target prot opt source destination

Chain WIRELESSINPUT (1 references)
target prot opt source destination

Chain XTACCESS (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere lns-vlq-33-xxx-82-xxx-xxx-140.adsl.prox
ad.net tcp dpt:ident

Chain ipac~fi (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~fo (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~i (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere
all -- anywhere anywhere

Chain ipac~o (1 references)
target prot opt source destination
all -- anywhere anywhere
all -- anywhere anywhere
all -- anywhere anywhere
root@RJCIPCOP:~ #
root@RJCIPCOP:~ # iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
CUSTOMPREROUTING all -- anywhere anywhere
SQUID all -- anywhere anywhere
PORTFW all -- anywhere anywhere

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
CUSTOMPOSTROUTING all -- anywhere anywhere
REDNAT all -- anywhere anywhere
POSTPORTFW all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain CUSTOMPOSTROUTING (1 references)
target prot opt source destination

Chain CUSTOMPREROUTING (1 references)
target prot opt source destination

Chain PORTFW (1 references)
target prot opt source destination
DNAT tcp -- anywhere lns-vlq-33-xxx-82-xxx-xxx-140.adsl.prox
ad.net tcp dpt:ftp-data to:192.168.2.2:20
DNAT tcp -- anywhere lns-vlq-33-xxx-82-xxx-xxx-140.adsl.prox
ad.net tcp dpt:ftp to:192.168.2.2:21
DNAT tcp -- anywhere lns-vlq-33-xxx-82-xxx-xxx-140.adsl.prox
ad.net tcp dpts:60000:61000 to:192.168.2.2:60000-61000

Chain POSTPORTFW (1 references)
target prot opt source destination
SNAT tcp -- 192.168.1.0/24 192.168.2.2 tcp dpt:ftp-data to
:192.168.1.1
SNAT tcp -- 192.168.1.0/24 192.168.2.2 tcp dpt:ftp to:192.
168.1.1
SNAT tcp -- 192.168.1.0/24 192.168.2.2 tcp dpts:60000:6100
0 to:192.168.1.1

Chain REDNAT (1 references)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain SQUID (1 references)
target prot opt source destination

Merci bcp de ton aide. si tu arrives a trouver bon courage.
dailleurs, j'ai posé la question sur d'autres forum et personne dit la meme chose. il est dit (mais est ce vrai) qu'avec le principe des iptables il y a juste a faire un transfert de port (20 et 21) et c'est bon.J'ai essayé mais cela ne marche pas tt le tps pour le client qui se connect.

Merci

A si une autre question:

Je voudrais que certains users puissent juste upload et download . (aucunes modif possible comme effacer des fichiers)
Les users sont bloqués dans leurs rep perso.J'ai essayé de changer les permissions de leur rep perso mais si j'autorise juste la lecture impossible de download.
Merci.

IPCOP et accès FTP

13 réponses

Discussions similaires

Newsletters