[firewall] Iptables && Server ftp -mode passif-

creuvard

Bonjoir a tous.

Voila Je me suis fait un petit routeur.

La bécanne sur laquelle est le routeur/firewall (iptables) héberge un serveur ftp ( Vsftpd )

Voici un peu a quoi ressemble mon "chez moi":

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

je ne connais pas trop iptable et tout le tralala, mais ton serveur ftp est sur un reseau nat-é (en NAT quoi..) et du coup, tu ne pourras pas (à ma connaissance) faire fonctionner ton serveur ftp en mode Passif(si il est "derrière un NAT"), de par le fonctionnement même du nat, (qui est "dynamique" chez toi), bref, en passif, c'est le client qui dit et qui ouvre le port donné, le problème, c'est qu'en nat dynamique, pour que le port soit ouvert il faut que la requète vienne de l'interieur de ton réseau.

BTW c'est pas très beau chez toi...

Et sinon, je ne comprends pas juste une chose, ta freebox ne sert que de routeur wifi? pas du tout de fonction modem? c'est possible ça? je croyais que le DSLAM regardait l'@ mac du modem branché, et que si ça n'était pas l'@ mac de la freebox ça ne marchait pas :?:

mais du coup tu n'as pas les chaine TV de la freebox? (tu me diras je ne les regardes pas non plus

)

creuvard · Posted: Wed Feb 22, 2006 10:24 pm Post subject:

Merci de ta réponse rapide.

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

creuvard · Posted: Thu Feb 23, 2006 9:04 pm Post subject:

La je vient d'essayé avec une autre personne.

Et pour qu'elle puisse se connecter je n'ai besoin de modifier que les OUTPUT.

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

premièrement faudrai savoir pourquoi tu veux faire du passif... tu as une raison particulière?

Bon le passif, c'est pratique quand le serveur n'est pas nat-é, ainsi, il est possible pour un client, qui lui est sur une réseau NAT, de faire du FTP, (n'oublie pas qu'en NAT, il faut que la requète d'ouverture d'un port vienne de l'interieur).
Malheureusement, dès lors que ton serveur lui également est sur un NAT, ça pose problème. le routeur nat de ton serveur ne saura pas vers ou rediriger les ports.

Heureusement, la vie est bien faite, ou plutôt se fait bien, la pluspart des routeurs font maintenant, proxyftp, ce qui fait que le ftp actif est désormais possible pour les clients NAT-é..

De même, je n'ai pas essayé, mais normalement, d'après ce que tu dis même si c'est en passif ton serveur prendra toujours un port data entre 30000 et 30999, donc tu peux, (si on ne se pose pas la question de la sécurité d'une telle configuration...) rediriger cette plage de port vers ton serveur, ainsi le passif devrait fonctionner.

Bon j'éspère ne pas avoir dit trop de bétises..

-KuRGaN- · Posted: Fri Feb 24, 2006 10:35 am Post subject:

[OFF]
Bon ça parle pas mal de firewalling en ce moment sur le forum donc je voulais faire un petit peu de pub pour une distro à la IPCOP qui par contre ne fait que du firewalling et ne fourni pas de service web ou dns.
C'est petite distro s'apelle Monowall et tourne sur une FreeBSD.
Je la trouve pas mal pour les personnes qui débutent dans le firewalling ou qui n'ont pas envie de se faire ch*** avec la syntaxe iptables.
[/OFF]

Désolé pour la pub !!

[EDIT] Oups le lien est bon maintenant, thx boozo
_________________
Knight Gent00 Industries RiDeR !!!!

creuvard · Posted: Fri Feb 24, 2006 10:39 am Post subject:

boozo · Advocate Joined: 01 Jul 2004 Posts: 3193

@ -KuRGaN- : heu... c'est pas vraiment çà ton lien

_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "

creuvard · Posted: Sun Feb 26, 2006 5:36 pm Post subject:

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

Es tu d'accord avec le fait que de tout façons si tu ne réserves pas cette plage de port au niveau de tes routeurs, ça ne peut pas marcher. A mon avis ce qu'il faut que tu fasses, c'est une redirection de toute cette plage de port vers ton serveur, et après c'est à ton parefeu de cacher l'existence d'un tel serveur si nécessaire.

Comme ça les ports sont "ouverts" mais ton parefeu se charge de proteger et cacher tout ça. Sans faire la redirection, je ne pense pas que ça soit possible (car ton serveur va donné un port date au client, ce dernier doit donc réenvoyer sur ce port, or au niveau de tonrouteur nat, il ne faut donc pas que ce port soit utilisé, de plus, à supposer qu'il ne le soit pas, il faut que le routeur nat le redirige sur ce même numéro de port directement sur le serveur.)

Donc voila, qu'en penses tu?

animemint · n00b Joined: 27 Feb 2006 Posts: 16

Salut,

je ne suis pas un expert de l'iptables ou en réseau mais ton script m'as l'air super compliqué...
Pour le ftp, as-tu le module ip_conntrack_ftp compilé et activé? Après tu as seulement besoin de t'avoir une règle qui redirige et accepte les nouvelles connections vers ton server FTP; puis une règle "ESTABLISHED,RELATED" autorise l'accès où nouveaux ports utilisés pour les transfert grâce au module ip_conntrack_ftp.
Ca devrait suffire dans ton cas je crois (pas trop compris le schéma...), siinon regarde aussi du côté de ip_nat_ftp (utilisé quand le serveur FTP est NATé).

Un peu hors-sujet, ça ne serait pas plus simple de faire des règles "ESTABLISHED,RELATED" générales sur INPUT, OUPUT et FORWARD pour ensuite seulement avoir à travailler sur les "NEW" ?

creuvard · Posted: Mon Feb 27, 2006 3:52 pm Post subject:

animemint · n00b Joined: 27 Feb 2006 Posts: 16

Je n'ai plus de serveur ftp installé sur mon routeur et je n'utilise plus la règle -P OUTPUT DROP mais ACCEPT pour le moment. Donc je ne peux pas tester mais normalement quelque chose du genre devrait marcher:

creuvard · Posted: Wed Mar 01, 2006 4:06 pm Post subject:

J'ai déja essayé les deux styles (conntrack et helper) et je me retrouve confronté au même problème.

J'ai aussi essayé avec un OUTPUT a ACCEPT mais cela ne change rien.

La seule chose qui autorise la connection a mon ftp c'est l'ajout de NEW sur la ligne.

iptables -A INPUT -p tcp -i $WAN --sport 1024:65000 --dport 30000:30999 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Ce qui n'est pas acceptable.

creuvard · Posted: Wed Mar 08, 2006 11:37 am Post subject:

Je viens de tester mon script sur une autre bécanne et il tourne comme un charme. Cela ne vient donc pas du script.

Le problème est que maintenant je ne sais pas ou regarder (Il n'y a rien dans les logs d'interressant)

J'utilise un hardened-sources 2.6.14-r5. Si quelqu'un a une idée .. :lol:

man in the hill · Veteran Joined: 15 Dec 2005 Posts: 1552 Location: Madinina

Salut Doudou ,

Est-ce que tu as pu accéder à un serveur vsftp ?

As -tu essayé un autre serveur ftp comme proftp par ex ?

@ +
_________________
Get Up and Go !

creuvard · Posted: Wed Mar 08, 2006 2:01 pm Post subject:

Non je n'ai pas essayé.

Mais lorsque j'ai fait mon test sur une autre bécanne je l'ai tester avec le même scripts et la même configuration pour vsftpd. Donc je ne pense pas que ce soit le VSFTPD qui soit en cause non plus.

man in the hill · Veteran Joined: 15 Dec 2005 Posts: 1552 Location: Madinina

Salut ,

Si tu as testés la même config iptables et vsftp :roll:

...J'utilise le même noyau que toi :