[Iptables] Règles à partir d'un programme [Résolu/Fermé]

Signaler
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
-
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
-
Bonjour,

Etant donné que Vsftpd ne prend pas en compte ces options
pasv_enable=NO   # Ne pas utiliser le mode passif
pasv_min_port=....  # Ici les ports pour le mode passif, ne marche pas non plus.


Je suis obligé d'utiliser mon serveur en mode passif... Et même avec ça je ne peux pas définir un éventail de port restreint. Il utilise toujours ceux qu'il veux au dessus de 1024...

C'est pas folichon pour la sécurité je trouve. Je suis obligé de définir cette règle:
iptables -A INPUT -p tcp --dport 1024: -j ACCEPT


J'aime pas trop avoir tous les ports au-dessus de 1024 ouvert...

Alors, j'aimerais bien savoir s'il n'existe pas une option dans iptables pour autoriser des connexions uniquement vers certains programmes.

Ou bien, si quelqu'un sait pourquoi je ne peux pas utiliser vstfpd en mode actif.... Pourtant je ne pense pas avoir d'erreur dans mon fichier de config..... Et j'ai testé ça sous deux distributions différentes, toujours ce même problème...

Merci d'avance...

5 réponses

Messages postés
5583
Date d'inscription
mercredi 15 septembre 2004
Statut
Contributeur
Dernière intervention
9 juillet 2021
942
Salut Kilian,

Peut-être trouveras tu la réponse à ton problème ici :

http://www.commentcamarche.net/forum/affich-1235262-Connexion-serveur-FTP-sous-FC3


Dal
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
1 519
Ok, donc faut que je voie du côté de ip_conntrack_ftp ...

J'essaie ce soir, merci beaucoup :-)
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
1 519
Merci Dal au fait. Ca marche, il suffisait donc juste de charger le module ip_conntrack_ftp.
En essayant chez moi en étant client et serveur sur la même machine, je ne comprenais pas pourquoi ça marchais pas avec ce module, c'était à cause du firewall je crois. Mais ça marche depuis une machine distante.

Merci :-)
Messages postés
5583
Date d'inscription
mercredi 15 septembre 2004
Statut
Contributeur
Dernière intervention
9 juillet 2021
942
Salut kilian,

Merci de ton feed-back :)

Tu as une explication sur la différence de fonctionnement du mode passif et du mode actif là :

http://www.int-evry.fr/mci/user/procacci/cours/firewall.html

et en particulier là (voir schémas ; NB : en fonction de la résolution de ton écran les schémas peuvent être superposés et non côte à côte comme l'indique le commentaire, celui du haut est alors celui correspondant au mode actif) :

http://www.int-evry.fr/mci/user/procacci/cours/firewall.html#htoc8

Voilà ma compréhension de la chose.

Dans le mode actif, le serveur ftp initie la connexion pour le transfert de données (ce qui peut poser des difficultés aux clients qui sont derrière un firewall). Dans le mode passif, le serveur est "passif" et c'est le client qui initie toutes les connexions. C'est alors au serveur de gérer l'ouverture des ports nécessaires aux transferts de données (sa charge est aussi plus lourde).

Lorsque le serveur ftp passe la connexion en mode passif (en réponse à un PASV envoyé par le client), il envoie au client ftp le numéro du port sur lequel le client ftp pourra ouvrir une connexion sur le serveur pour le transfert de données.

Le module ip_conntrack_ftp ajoute les connexions ftp ainsi définies à la table des connexions autorisées sur le serveur.


Dal
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
1 519
Merci pour ces explications. C'est à peu prêt ce que j'avais compris aussi. Et dire que ce protocole ftp me paraissait tout simple avant :-)