#1 Le 02/12/2010, à 18:36
- mazarini
[résolu] iptables - proftp - changement du port 21
Bonjour,
Je suis en train de paramétrer le pare-feu de mon serveur
Les règles *filter concernant ftp :
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --dport 20 -j ACCEPT
-A INPUT -p tcp --dport 2106 -j ACCEPT
-A INPUT -p tcp --dport 2105 -j ACCEPT
Les connexions sortantes sont ouvertes pour le moment
Les connexions entrantes RELATED et ESTABLISHED sont ouvertes
Ca marche très bien lorsque proftp est sur le port 21. Par contre sur le port 2106, je peux uniquement me connecter mais pas visualiser les dossiers.
2105 est ouvert à tout hasard, pour l'analogie 21/20.
Dernière modification par mazarini (Le 06/12/2010, à 21:04)
S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)
Hors ligne
#2 Le 02/12/2010, à 21:53
- chopinhauer
Re : [résolu] iptables - proftp - changement du port 21
Tu dois changer les paramètres du module Linux nf_conntrack_ftp. Pour cela ajoute dans un fichier .conf de /etc/modprobe.d la ligne suivante :
options nf_conntrack_ftp ports=21,2106
Par exemple /etc/modprobe.d/local.conf va bien. Cela va dire au composant de Netfilter qui suit les connexions FTP d'inspecter aussi les paquets à destination du port 2106.
Tu va devoir aussi recharger le module. Essaie :
modprobe -r nf_nat_ftp
modprobe -r nf_conntrack_ftp
modprobe nf_conntrack_ftp
et si cela échoue tu vas devoir redémarrer.
Tes règles pour les ports 20 et 2105 sont pas nécessaires, car ces connexions seront considérées comme RELATED.
PS : Ceci dit je doute que les clients derrière une box à la française puisse faire du FTP actif.
Dernière modification par chopinhauer (Le 02/12/2010, à 21:55)
Pensez à donner un bon titre à vos sujets : cela permettra d'aider d'autres utilisateurs dans votre même situation. Ce n'est pas qu'en donnant des solutions qu'on aide, mais aussi en posant des bonnes questions et… facilement trouvables.
Hors ligne
#3 Le 03/12/2010, à 10:32
- mazarini
Re : [résolu] iptables - proftp - changement du port 21
Bonjour,
La solution me semble bonne mais je ne peux la tester dans l'immédiat.
Pour la connexion, le passif me suffit, mais je ne connais pas trop la différence entre les 2 modes.
S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)
Hors ligne
#4 Le 03/12/2010, à 10:48
- chopinhauer
Re : [résolu] iptables - proftp - changement du port 21
La différence est dans la direction de la deuxième connexion (celle de donnée). En mode actif le serveur (port 20) se connecte au client (ce qui est impossible avec un client derrière NAT), en mode passif le client se connecte sur le serveur pour la deuxième fois (port aléatoire).
Pensez à donner un bon titre à vos sujets : cela permettra d'aider d'autres utilisateurs dans votre même situation. Ce n'est pas qu'en donnant des solutions qu'on aide, mais aussi en posant des bonnes questions et… facilement trouvables.
Hors ligne
#5 Le 04/12/2010, à 18:08
- mazarini
Re : [résolu] iptables - proftp - changement du port 21
Bonjour,
Merci ca marche bien grâce à tes explications
S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)
Hors ligne