[Iptables] Règles à partir d'un programmeRésolu/Fermé

Question

Bonjour,Etant donné que Vsftpd ne prend pas en compte ces options pasv_enable=NO   # Ne pas utiliser le mode passifpasv_min_port=....  # Ici les ports pour le mode passif, ne marche pas non plus.Je suis obligé d'utiliser mon serveur en mode passif... Et même avec ça je ne peux pas définir un éventail de port restreint. Il utilise toujours ceux qu'il veux au dessus de 1024...C'est pas folichon pour la sécurité je trouve. Je suis obligé de définir cette règle:iptables -A INPUT -p tcp --dport 1024: -j ACCEPTJ'aime pas trop avoir tous les ports au-dessus de 1024 ouvert...Alors, j'aimerais bien savoir s'il n'existe pas une option dans iptables pour autoriser des connexions uniquement vers certains programmes.Ou bien, si quelqu'un sait pourquoi je ne peux pas utiliser vstfpd en mode actif.... Pourtant je ne pense pas avoir d'erreur dans mon fichier de config..... Et j'ai testé ça sous deux distributions différentes, toujours ce même problème...Merci d'avance...

[Dal] · Answer

Salut Kilian,Peut-être trouveras tu la réponse à ton problème ici :http://www.commentcamarche.net/forum/affich-1235262-Connexion-serveur-FTP-sous-FC3Dal

kilian · Answer

Ok, donc faut que je voie du côté de ip_conntrack_ftp ...J'essaie ce soir, merci beaucoup :-)

kilian · Answer

Merci Dal au fait. Ca marche, il suffisait donc juste de charger le module ip_conntrack_ftp.En essayant chez moi en étant client et serveur sur la même machine, je ne comprenais pas pourquoi ça marchais pas avec ce module, c'était à cause du firewall je crois. Mais ça marche depuis une machine distante.Merci :-)

[Dal] · Answer

Salut kilian,Merci de ton feed-back :)Tu as une explication sur la différence de fonctionnement du mode passif et du mode actif là :http://www.int-evry.fr/mci/user/procacci/cours/firewall.html et en particulier là (voir schémas ; NB : en fonction de la résolution de ton écran les schémas peuvent être superposés et non côte à côte comme l'indique le commentaire, celui du haut est alors celui correspondant au mode actif) :http://www.int-evry.fr/mci/user/procacci/cours/firewall.html#htoc8Voilà ma compréhension de la chose.Dans le mode actif, le serveur ftp initie la connexion pour le transfert de données (ce qui peut poser des difficultés aux clients qui sont derrière un firewall). Dans le mode passif, le serveur est "passif" et c'est le client qui initie toutes les connexions. C'est alors au serveur de gérer l'ouverture des ports nécessaires aux transferts de données (sa charge est aussi plus lourde).Lorsque le serveur ftp passe la connexion en mode passif (en réponse à un PASV envoyé par le client), il envoie au client ftp le numéro du port sur lequel le client ftp pourra ouvrir une connexion sur le serveur pour le transfert de données.Le module ip_conntrack_ftp ajoute les connexions ftp ainsi définies à la table des connexions autorisées sur le serveur.Dal

kilian · Answer

Merci pour ces explications. C'est à peu prêt ce que j'avais compris aussi. Et dire que ce protocole ftp me paraissait tout simple avant :-)

[Iptables] Règles à partir d'un programme

5 réponses

Discussions similaires

Newsletters