Ubuntu-fr

FIlargent

Configuration d'iptables pour le ftp

Bonjour,

j'essaie depuis un moment de configurer iptables pour autoriser les connexions vers pure-ftpd, aussi bien en actif que passif (donc ports 20-21 et ports 5000-6000 définit dans pure-ftpd).
Tout ça fonctionne bien, sauf quand je lance iptables. Apparement iptables ne laisserait pas passer les connexions pour le ftp.

J'ai essayé plus trucs indiqués sur divers forum, man d'iptables etc mais rien n'y fait.
Pour le ssh aucun problème mais la je flanche ...

ma configuration actuelle pour iptables est la suivante:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
...
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
...
iptables -A INPUT -m state \
--state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -m state \
--state ESTABLISHED -p tcp --sport 22 -j ACCEPT
...
modprobe ip_conntrack_ftp
iptables -A INPUT -p tcp --sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 5000:6000 --dport 5000:6000 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 5000:6000 --dport 5000:6000 -m state --state ESTABLISHED,RELATED -j ACCEPT
...
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP

Apparement c'est le module ip_conntrack_ftp qui est censé géré le mode passif, mais le hic c'est qu'avec lsmod il n'est pas présent, mais il y a nf_conntrack_ftp de présent. Je ne sais pas s'il sagit du même module, mais en essayant de lancer /usr/sbin/modprobe ip_conntrack_ftp il n'apparait toujours pas dans lsmod.

Donc la apres avoir écumé pas mal de site, essayé firehol (et l'avoir configuré pour le ftp) pour avoir le même résultat, je suis à cour d'idée.
Je précise que même en mode actif, les clients ftp ne peuvent pas se connecter.

Si quelqu'un voit la solution, je suis preneur. Merci d'avance

petite précision, je suis sous ubuntu 7.04 server, et donc pas d'interface graphique (pour firestarter ou autre )

dexinou

Re : Configuration d'iptables pour le ftp

Tes logs disent quelques choses ?

Mais je viens de voir ça :
iptables -A INPUT -p tcp --sport 5000:6000 --dport 5000:6000 -m state --state ESTABLISHED -j ACCEPT

Tu ne dois pas rajouter un NEW pour les nouvelles connexions ? c'est ce qu'il me semble.

Dernière modification par dexinou (Le 23/09/2007, à 23:00)

---

Ubuntu 9.10 64bits ext4 ® Core 2 Duo
Unix..... il y a moins bien mais c'est plus cher.
Si t'as pas compris la réponse, pose mieux ta question.
Tutoriaux Linux, apache, pure-ftpd, bind, mysql, qmail...

FIlargent

Re : Configuration d'iptables pour le ftp

Les logs ne disent rien, fichier vierge ... je me demande même s'il écrit dedans d'ailleurs.
Pour le NEW, en effet il le manquait, mais malheuresement ça ne change rien

Silky05

Re : Configuration d'iptables pour le ftp

Essaye ces instructions pour le ftp

# connexions firewall-Internet (ftp)
modprobe ip_conntrack_ftp ip_conntrack ip_nat_ftp
iptables -A OUTPUT -p tcp --dport 21  -o wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -i wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20  -o wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -i wlan0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Moi j'avais le même probleme et ce sont les 2 dernières lignes qui ont tout débloqué.
C'est un coup de bol parce que j'ai cherché partout sur le net !!
Après c'est un puzzle de scripts trouvés sur le net donc il doit y avoir moyen de faire plus sécurisé, mais en tout cas ca marche (enfin chez moi ... )