View previous topic :: View next topic |
Author |
Message |
Dais l33t
Joined: 05 Aug 2004 Posts: 977 Location: Québec
|
Posted: Thu Jul 28, 2005 7:37 pm Post subject: [ports] impossible d'ouvrir un port .. |
|
|
J'essaie d'ouvrir le port 2121 pour m'en servir en tant que port ftp extérieur (le 21 est pour le ftp local, et le port 21 du routeur est pour le ftp extérieur d'un autre pc).
Sauf que je n'arrive pas à l'ouvrir T_T nmap ne me le montre jamais ..
J'ai iptables d'installé et même de lancé. J'ai tenté de le configurer avec guarddog et même firestarter, rien n'y fait .. Même avec iptables non lancé, le port est totalement fermé .. du coup, je pense que ça ne vient pas d'iptables, mais alors d'où ?
/var/lib/iptables/rules-save
Code: | # Generated by iptables-save v1.2.11 on Thu Jul 28 15:31:58 2005
*nat
:PREROUTING ACCEPT [13672:2122097]
:POSTROUTING ACCEPT [6823:274472]
:OUTPUT ACCEPT [6832:274868]
COMMIT
# Completed on Thu Jul 28 15:31:58 2005
# Generated by iptables-save v1.2.11 on Thu Jul 28 15:31:58 2005
*mangle
:PREROUTING ACCEPT [51084:29648347]
:INPUT ACCEPT [51084:29648347]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [33483:14229156]
:POSTROUTING ACCEPT [33474:14228760]
COMMIT
# Completed on Thu Jul 28 15:31:58 2005
# Generated by iptables-save v1.2.11 on Thu Jul 28 15:31:58 2005
*filter
:INPUT DROP [3:450]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:f0to1 - [0:0]
:f1to0 - [0:0]
:logaborted - [0:0]
:logaborted2 - [0:0]
:logdrop - [0:0]
:logdrop2 - [0:0]
:logreject - [0:0]
:logreject2 - [0:0]
:nicfilt - [0:0]
:s0 - [0:0]
:s1 - [0:0]
:srcfilt - [0:0]
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -s 192.168.0.101 -d 192.168.0.255 -i eth0 -j ACCEPT
[0:0] -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -m tcp --tcp-flags RST RST -j logaborted
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
[35:5418] -A INPUT -j nicfilt
[35:5418] -A INPUT -j srcfilt
[0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -p icmp -m icmp --icmp-type 3 -j ACCEPT
[0:0] -A FORWARD -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A FORWARD -p icmp -m icmp --icmp-type 12 -j ACCEPT
[0:0] -A FORWARD -j srcfilt
[0:0] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
[0:0] -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A OUTPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
[0:0] -A OUTPUT -j s1
[0:0] -A f0to1 -p tcp -m tcp --sport 1024:65535 --dport 6881:6889 -m state --state NEW -j ACCEPT
[0:0] -A f0to1 -p udp -m udp --dport 6970:7170 -j ACCEPT
[0:0] -A f0to1 -p tcp -m tcp --sport 1024:65535 --dport 4662 -m state --state NEW -j ACCEPT
[0:0] -A f0to1 -p udp -m udp --sport 1024:65535 --dport 4666 -j ACCEPT
[0:0] -A f0to1 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT
[35:5418] -A f0to1 -j logdrop
[0:0] -A f1to0 -p tcp -m tcp --dport 2121 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5222 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5223 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 111 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --dport 111 -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 1024:65535 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 2049 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --dport 2049 -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 873 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 21 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 1863 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5050 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 23 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5000:5001 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 5000 -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 22 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 0:1023 --dport 22 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 80 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 8080 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 8008 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 8000 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 8888 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 37 -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 37 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --dport 123 -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 123 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 25 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 515 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 6881:6889 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 554 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 7070 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 6660:6669 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 389 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 522 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 1503 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 1720 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --dport 1731 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 1024:65535 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 1024:65535 -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5190:5193 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 5190:5193 -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 3632 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 4661 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 4662 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 4665 -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 4666 -j ACCEPT
[0:0] -A f1to0 -p udp -m udp --dport 4000 -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 110 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 443 -m state --state NEW -j ACCEPT
[0:0] -A f1to0 -j logdrop
[0:0] -A logaborted -m limit --limit 1/sec --limit-burst 10 -j logaborted2
[0:0] -A logaborted -m limit --limit 2/min --limit-burst 1 -j LOG --log-prefix "LIMITED "
[0:0] -A logaborted2 -j LOG --log-prefix "ABORTED " --log-tcp-sequence --log-tcp-options --log-ip-options
[0:0] -A logaborted2 -m state --state RELATED,ESTABLISHED -j ACCEPT
[35:5418] -A logdrop -m limit --limit 1/sec --limit-burst 10 -j logdrop2
[0:0] -A logdrop -m limit --limit 2/min --limit-burst 1 -j LOG --log-prefix "LIMITED "
[0:0] -A logdrop -j DROP
[35:5418] -A logdrop2 -j LOG --log-prefix "DROPPED " --log-tcp-sequence --log-tcp-options --log-ip-options
[35:5418] -A logdrop2 -j DROP
[0:0] -A logreject -m limit --limit 1/sec --limit-burst 10 -j logreject2
[0:0] -A logreject -m limit --limit 2/min --limit-burst 1 -j LOG --log-prefix "LIMITED "
[0:0] -A logreject -p tcp -j REJECT --reject-with tcp-reset
[0:0] -A logreject -p udp -j REJECT --reject-with icmp-port-unreachable
[0:0] -A logreject -j DROP
[0:0] -A logreject2 -j LOG --log-prefix "REJECTED " --log-tcp-sequence --log-tcp-options --log-ip-options
[0:0] -A logreject2 -p tcp -j REJECT --reject-with tcp-reset
[0:0] -A logreject2 -p udp -j REJECT --reject-with icmp-port-unreachable
[0:0] -A logreject2 -j DROP
[35:5418] -A nicfilt -i eth0 -j RETURN
[0:0] -A nicfilt -i eth0 -j RETURN
[0:0] -A nicfilt -i lo -j RETURN
[0:0] -A nicfilt -j logdrop
[0:0] -A s0 -d 192.168.0.101 -j f0to1
[35:5418] -A s0 -d 192.168.0.255 -j f0to1
[0:0] -A s0 -d 127.0.0.1 -j f0to1
[0:0] -A s0 -j logdrop
[0:0] -A s1 -j f1to0
[35:5418] -A srcfilt -j s0
COMMIT
# Completed on Thu Jul 28 15:31:58 2005
|
le nmap:
Code: | nmap localhost
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-28 15:37 EDT
Interesting ports on localhost (127.0.0.1):
(The 1654 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
111/tcp open rpcbind
631/tcp open ipp
783/tcp open hp-alarm-mgr
834/tcp open unknown
2049/tcp open nfs
3632/tcp open distccd
32770/tcp open sometimes-rpc3
Nmap finished: 1 IP address (1 host up) scanned in 0.278 seconds
|
_________________ Tout ce que je suis n'est que cause
Tout ce que je suis n'est que conséquence
Pourquoi s'attacher à toutes ces choses
Pourquoi continuer dans la souffrance ?
-
Shiki Soku Ze Ku, Ku Soku Ze Shiki |
|
Back to top |
|
|
Piaf Tux's lil' helper
Joined: 03 Aug 2003 Posts: 76 Location: Sophia Antipolis
|
Posted: Fri Jul 29, 2005 7:36 am Post subject: Re: [ports] impossible d'ouvrir un port .. |
|
|
Salut,
J'ai pas vraiment eu le temps de regarder ta config iptables, mais en tout cas, il y a un petit détail qui me dérange un peu avec ton nmap:
Dais wrote: | Code: | nmap localhost
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-28 15:37 EDT
Interesting ports on localhost (127.0.0.1):
|
|
localhost (127.0.0.1)
ton scan semble s'effectuer sur l'interface de loopback... ce qui ne peut que en fausser les résultats...
Dans ce cas, seule la règle
Code: | [0:0] -A INPUT -i lo -j ACCEPT |
s'applique...
Est-ce que ton serveur ftp ecoute sur le port 2121 sur lo ?
A++ _________________ Est-ce que c'est toi John Wayne, ou est-ce que c'est moi... |
|
Back to top |
|
|
Dais l33t
Joined: 05 Aug 2004 Posts: 977 Location: Québec
|
Posted: Fri Jul 29, 2005 12:14 pm Post subject: |
|
|
Euh, voici le nmap sur mon ip réseau (192.168.0.101)
Code: | nmap -v 192.168.0.101
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-29 08:13 EDT
Initiating SYN Stealth Scan against nirvana.samsara (192.168.0.101) [1663 ports] at 08:13
Discovered open port 22/tcp on 192.168.0.101
Discovered open port 21/tcp on 192.168.0.101
Discovered open port 631/tcp on 192.168.0.101
Discovered open port 3632/tcp on 192.168.0.101
Discovered open port 111/tcp on 192.168.0.101
Discovered open port 32770/tcp on 192.168.0.101
Discovered open port 2049/tcp on 192.168.0.101
Discovered open port 834/tcp on 192.168.0.101
The SYN Stealth Scan took 0.16s to scan 1663 total ports.
Host nirvana.samsara (192.168.0.101) appears to be up ... good.
Interesting ports on nirvana.samsara (192.168.0.101):
(The 1655 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
111/tcp open rpcbind
631/tcp open ipp
834/tcp open unknown
2049/tcp open nfs
3632/tcp open distccd
32770/tcp open sometimes-rpc3
Nmap finished: 1 IP address (1 host up) scanned in 0.322 seconds
Raw packets sent: 1665 (66.6KB) | Rcvd: 3336 (133KB)
|
Sinon, je sais pas si le 2121 est sur lo ou eth0, je t'avouerais que j'y comprends pas grand chose à iptables pour l'instant ^^; _________________ Tout ce que je suis n'est que cause
Tout ce que je suis n'est que conséquence
Pourquoi s'attacher à toutes ces choses
Pourquoi continuer dans la souffrance ?
-
Shiki Soku Ze Ku, Ku Soku Ze Shiki |
|
Back to top |
|
|
Starch Guru
Joined: 26 Feb 2003 Posts: 539 Location: Rennes, France
|
Posted: Fri Jul 29, 2005 12:33 pm Post subject: |
|
|
Je comprends pas grand chose à ce que tu veux faire non plus. Un port n'est ouvert que si quelque chose écoute dessus.
Code: |
netstat -aputn | grep LISTEN
|
Si dans la conf de ton ftp t'as pas mis Listen 2121 ou équivalent tu n'iras pas bien loin.
Si maintenant tu veuv rediriger les requêtes sur le 2121 from the extérieur sur le 21 de ton ftp local, il faut que tu le dise à ton routeur.
C'est pas parce que ton firewall dit « Je laisse passer ce port là » qu'il est ouvert... _________________ - Vous aurez beau dire... Y'a pas qu'd'la pomme... Y'aurait pas aussi d'la betterave ?
- Si, y'en a aussi |
|
Back to top |
|
|
Dais l33t
Joined: 05 Aug 2004 Posts: 977 Location: Québec
|
Posted: Fri Jul 29, 2005 1:03 pm Post subject: |
|
|
Non mais je fais pitié là ... j'avais effectivement laissé le port 21 pour le ftp .. avec le port mis en 2121 ça marche mieux
Du coup, maintenant je peux me connecter via l'ip réseau, mais pas depuis l'extérieur
EDIT: faut que je me réveille .. j'oublie de poster le message d'erreur ..
Code: | PORT 192,168,0,101,4,11
500 Illegal PORT command
Invalid response '5' received from server.
Déconnexion de l'hôte monrake.dyndns.org |
_________________ Tout ce que je suis n'est que cause
Tout ce que je suis n'est que conséquence
Pourquoi s'attacher à toutes ces choses
Pourquoi continuer dans la souffrance ?
-
Shiki Soku Ze Ku, Ku Soku Ze Shiki |
|
Back to top |
|
|
kernelsensei Bodhisattva
Joined: 22 Feb 2004 Posts: 5619 Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
Posted: Fri Jul 29, 2005 1:10 pm Post subject: |
|
|
est-ce que tu tiens vraiment aux -sport et -m state --state NEW ?
essaye voir sans ... _________________ $ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
Back to top |
|
|
anigel Bodhisattva
Joined: 14 Apr 2003 Posts: 1894 Location: Un petit bled pas loin de Limoges ;-)
|
Posted: Fri Jul 29, 2005 1:11 pm Post subject: |
|
|
Complément d'information, même si cela ne semble pas être ton cas : ne pas oublier que par défaut, nmap de teste pas l'intégralité des ports disponibles, mais seulement les ports "principaux".
Pour être certain qu'un port est ouvert ou fermé, il faut le spécifier à la main. C'est particulièrement vrai dans le cas de ports non banals.
Code: | nmap <ip_hôte> -p <n° de port>
exemple : nmap localhost -p 2121 |
Amicalement, _________________ Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
Back to top |
|
|
Dais l33t
Joined: 05 Aug 2004 Posts: 977 Location: Québec
|
Posted: Fri Jul 29, 2005 1:15 pm Post subject: |
|
|
kernel_sensei wrote: | est-ce que tu tiens vraiment aux -sport et -m state --state NEW ?
essaye voir sans ... |
Tu veux que je vire ces options des lignes où elles se trouvent, ou bien carrément les lignes qui contiennent ces options ?
Anigel: bah maintenant je vois le port 2121 ouvert ^^; cf plus haut (mekelboulay ce Dais, j'vous jure..) _________________ Tout ce que je suis n'est que cause
Tout ce que je suis n'est que conséquence
Pourquoi s'attacher à toutes ces choses
Pourquoi continuer dans la souffrance ?
-
Shiki Soku Ze Ku, Ku Soku Ze Shiki |
|
Back to top |
|
|
kernelsensei Bodhisattva
Joined: 22 Feb 2004 Posts: 5619 Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
Posted: Fri Jul 29, 2005 1:22 pm Post subject: |
|
|
essaye de faire en tcp, comme tu le fais en udp _________________ $ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
Back to top |
|
|
anigel Bodhisattva
Joined: 14 Apr 2003 Posts: 1894 Location: Un petit bled pas loin de Limoges ;-)
|
Posted: Fri Jul 29, 2005 1:23 pm Post subject: |
|
|
Dais wrote: | Anigel: bah maintenant je vois le port 2121 ouvert ^^; cf plus haut (mekelboulay ce Dais, j'vous jure..) |
J'avais bien compris, mais c'est un problème courant aussi, donc ça va mieux en le disant : peut-être cela pourra servir à d'autres ?
_________________ Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
Back to top |
|
|
Dais l33t
Joined: 05 Aug 2004 Posts: 977 Location: Québec
|
Posted: Fri Jul 29, 2005 1:28 pm Post subject: |
|
|
Kernel_sensei: sauf que j'ai des udp en -sport ..
désolé, je suis très lent à la détente aujourd'hui, je dors sur place
anigel: effectivement ^^ _________________ Tout ce que je suis n'est que cause
Tout ce que je suis n'est que conséquence
Pourquoi s'attacher à toutes ces choses
Pourquoi continuer dans la souffrance ?
-
Shiki Soku Ze Ku, Ku Soku Ze Shiki |
|
Back to top |
|
|
kernelsensei Bodhisattva
Joined: 22 Feb 2004 Posts: 5619 Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
Posted: Fri Jul 29, 2005 1:46 pm Post subject: |
|
|
tu fais un truc comme ca : Code: | -A f1to0 -p tcp -m tcp --dport <PORT> -j ACCEPT |
_________________ $ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
Back to top |
|
|
Dais l33t
Joined: 05 Aug 2004 Posts: 977 Location: Québec
|
Posted: Fri Jul 29, 2005 2:02 pm Post subject: |
|
|
C'est fait, et toujours la même erreur "500 illegal port command, invalid response '5' recieved from server" _________________ Tout ce que je suis n'est que cause
Tout ce que je suis n'est que conséquence
Pourquoi s'attacher à toutes ces choses
Pourquoi continuer dans la souffrance ?
-
Shiki Soku Ze Ku, Ku Soku Ze Shiki |
|
Back to top |
|
|
Starch Guru
Joined: 26 Feb 2003 Posts: 539 Location: Rennes, France
|
Posted: Fri Jul 29, 2005 2:26 pm Post subject: |
|
|
Je ne m'y connais absolument pas en iptables (parce que bon les firewall c'est bien, mais bof quoi...), toutefois y'a plusieurs trucs à voir :
- Actif ou passif. Actif que c'est mieux. Sauf si des gens peuvent se connecter de derrière un firewall.
- T'as autorisé le 2120 aussi ?
- y'a le coup de la plage de ports en passif aussi.
Le ftp c'est mal pour les firewalls ! _________________ - Vous aurez beau dire... Y'a pas qu'd'la pomme... Y'aurait pas aussi d'la betterave ?
- Si, y'en a aussi |
|
Back to top |
|
|
Dais l33t
Joined: 05 Aug 2004 Posts: 977 Location: Québec
|
Posted: Fri Jul 29, 2005 4:21 pm Post subject: |
|
|
actif
pas de port 2120 car actif justement _________________ Tout ce que je suis n'est que cause
Tout ce que je suis n'est que conséquence
Pourquoi s'attacher à toutes ces choses
Pourquoi continuer dans la souffrance ?
-
Shiki Soku Ze Ku, Ku Soku Ze Shiki |
|
Back to top |
|
|
niolou n00b
Joined: 06 Jul 2004 Posts: 42 Location: Clermont Fd (63) - Choisy le Roi (94) / France
|
Posted: Sat Aug 06, 2005 9:47 am Post subject: |
|
|
Si ton FTP fonctionne en mode passif tu dois déclaré le port 20 à iptables sans quoi tu vas t'amusé in moment.
Code: |
iptables -A INPUT -i <toninfacedentree> -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -o <toninfacedesortie> -p tcp --sport 20 -j ACCEPT
|
après bien sur tu peux jouer avec les états iptables.
Pour un ftp passif la c'est tendu enfin moi perso ca n'a jms fonctionné (je jump sur 2 firewalls différents aussi faut dire)
mais on obtient ca (j'emet une reserve certaine sur le code)
Code: |
iptables -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
|
Sinon as tu bien ouvert ton port 2121 ? OUTPUT et INPUT ? |
|
Back to top |
|
|
|