[Debian] iptables problème ftp, pop, smtp [Résolu]

Salut,

Pour pop3 ssl et smtp ssl, tu t'es emmêlé les pinceaux sur les ports sources et destination ainsi que l'état tcp.

Il faut changer :

iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

En:

iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --sport 995 -m state --state RELATED,ESTABLISHED -j ACCEPT

Et changer :

iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 465 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 

En:

iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --sport 465 -m state --state RELATED,ESTABLISHED -j ACCEPT 

Voilà, et pour le ftp certains serveur peuvent utiliser des ports autre que le 20 pour le transfert des données.
Essaie de te connecter avec tes règles actuelles sur ftp.kernel.org avec le login anonymous et un mot de passe vide. Ce serveur utilise le port 20 pour le transfert. On saura si le problème vient de là ou pas.

Re,

Les règles sont correctes, c'est certain.

Maintenant si on se met du coté client et que l'on regarde comment s'établit la connexion ....

C'est en fait le client qui décide du mode à utiliser, passif ou actif ...

Donc si tu ne paramètres pas le client en passif ou actif, il utilisera un mode par défaut...

Le navigateur Web Internet Explorer fonctionne par défaut en actif.
Filezilla est paramétrable depuis le menu Edition > Paramètres > paramètres de pare feu. Tu pourras cocher/décocher le mode passif.

Autre chose n'oublie de systématiquement recharger tes règles iptables lorsque tu modifies ton script (ça peut paraitre idiot pour certains, mais on ne sait jamais.)

Sinon vérifies sur le client les paramètres de pare feu, pourquoi ?
La question est en fait "pourquoi il y a deux modes de connexion ftp pour les données?"
A cause du parefeu des clients ... en effet le firewall n'accepte pas par défaut les connexions entrantes, donc dans le cas du ftp actif le client bloquera la connexion de données provenant du serveur (avec son port 20). Donc il a été mis en place le mode passif, car les parefeu des clients sont paramétrés généralement par défaut pour laisser sortir les nouvelles connexions....
Donc vérifies si le parefeu sur la machine cliente accepte correctement les connexions entrantes ayant comme port source le port 20... meme si tu as ouvert le port 20 sur la passerelle, ce n'est pas dit que le client l' accèpte également.

[EDIT] : oublie cette parenthèse sur le mode actif, te concernant il s'agissait du mode passif qui posait problème, je viens de me relire et de m'apercevoir de cela, par contre ca peut servir à d'autres...

J'insiste aussi sur le second module à charger.

Le premier, ip_conntrack_ftp sert à traquer les connexions ftp et prévoir la seconde connexion (le firewall voit les communications et sait sur quels ports la seconde connexion va etre effectuée, d'ou l'état RELATED et pas NEW sur les regles de ftp-data)

Le second,ip_nat_ftp, sert aux clients derriere un NAT... (peut etre meme aux serveurs derriere un nat...)

N'hésite pas si d'autres questions.

@+

Salut, comment est organisé ton réseau?
La machine windows XP est dans le même réseau local que le firewall linux? C'est la machine Linux qui lui sert de passerelle?

Oui mon poste XP est dans le même réseau que le firewall.

C'est exactement ca le firewall est la passerelle du XP.

Merci tout d'abord pour ton analyse, ce marche pour pop3 ssl et smtp ssl.

Maintenant c'est toujours le ftp qui ne marche pas, j'ai bien ouvert les ports 20 et 21 en sortie. Mais ca n'y fait rien.

Lorsque je me connecte sur ton ftp (le ftp que tu m'a donné hier) ou sur un autre d'ailleurs : la connection fonctionne. Le problème est que le listage des répertoires du ftp ne fonctionne pas.

Voici le contenu des log de Filezilla :

Etat : Connexion à ftp.kernel.org ...
Etat : Connecté à ftp.kernel.org. Attente du message d'accueil...
Réponse : 220 Welcome to ftp.kernel.org.
Commande : USER anonymous
Réponse : 331 Please specify the password.
Commande : PASS *****
Réponse : 230- Welcome to the
Réponse : 230-
Réponse : 230- LINUX KERNEL ARCHIVES
Réponse : 230- ftp.kernel.org
Réponse : 230-
Réponse : 230- "Much more than just kernels"
Réponse : 230-
Réponse : 230- IF YOU'RE ACCESSING THIS SITE VIA A WEB BROWSER
Réponse : 230- PLEASE USE THE HTTP URL BELOW INSTEAD!
Réponse : 230-
Réponse : 230-----> If you are looking for mirror sites, please go <----
Réponse : 230-----> to mirrors.kernel.org instead <----
Réponse : 230-
Réponse : 230-This site is provided as a public service by the Kernel Dot Org
Réponse : 230-Organization, Inc. Bandwidth is provided by The Internet Software
Réponse : 230-Consortium, Inc. This server is located in San Francisco, California,
Réponse : 230-USA; use in violation of any applicable laws strictly prohibited.
Réponse : 230-
Réponse : 230-Due to U.S. Exports Regulations, all cryptographic software on this
Réponse : 230-site is subject to the following legal notice:
Réponse : 230-
Réponse : 230- This site includes publicly available encryption source code
Réponse : 230- which, together with object code resulting from the compiling of
Réponse : 230- publicly available source code, may be exported from the United
Réponse : 230- States under License Exception "TSU" pursuant to 15 C.F.R. Section
Réponse : 230- 740.13(e).
Réponse : 230-
Réponse : 230-This legal notice applies to cryptographic software only. Please see
Réponse : 230-the Bureau of Industry and Security (http://www.bis.doc.gov/) for more
Réponse : 230-information about current U.S. regulations.
Réponse : 230-
Réponse : 230-Neither the Kernel Dot Org Organization, Inc. nor its sponsors make
Réponse : 230-any guarantees, explicit or implicit, about the contents of this site.
Réponse : 230-Use at your own risk.
Réponse : 230-
Réponse : 230-This site is accessible via the following mechanisms:
Réponse : 230-
Réponse : 230- FTP ftp://ftp.kernel.org/pub/
Réponse : 230- HTTP http://www.kernel.org/pub/
Réponse : 230- RSYNC rsync://rsync.kernel.org/pub/
Réponse : 230-
Réponse : 230-NFS and SMB/CIFS are no longer available.
Réponse : 230-
Réponse : 230-For comments on this site, please contact <ftpadmin@kernel.org>.
Réponse : 230-Please do not use this address for questions that are not related to
Réponse : 230-the operation of this site. Please see our homepage at
Réponse : 230-http://www.kernel.org/ for links to Linux documentation resources.
Réponse : 230-
Réponse : 230 Login successful.
Commande : SYST
Réponse : 215 UNIX Type: L8
Commande : FEAT
Réponse : 211-Features:
Réponse : EPRT
Réponse : EPSV
Réponse : MDTM
Réponse : PASV
Réponse : REST STREAM
Réponse : SIZE
Réponse : TVFS
Réponse : 211 End
Etat : Connecté
Etat : Récupération de la liste de répertoires...
Commande : PWD
Réponse : 257 "/"
Commande : TYPE A
Réponse : 200 Switching to ASCII mode.
Commande : PASV
Réponse : 227 Entering Passive Mode (204,152,191,37,52,138)
Commande : LIST
Erreur : Le canal de transfert n'a pas pu être ouvert. Raison : Une tentative de connexion a échoué car le parti connecté n'a pas répondu convenablement au-delà d'une certaine durée ou une connexion établie a échoué car l'hôte de connexion n'a pas répondu.
Erreur : N'a pas pu récupérer la liste du répertoire


A noter que lorsque je permet au poste XP de se connecter sur internet sans passer par le firewall la connexion ftp marche parfaitement : donc cela ne vient pas de la config de filezilla.

Je viens de tester avec les mêmes règles que toi pour le ftp mais en INPUT (j'ai qu'une machine chez moi). Et ça fonctionne, donc le soucis concerne seulement le forward.
Le problème, c'est que j'ai pas de machine pour tester.

Essaie un ptit truc:
Insère une règle au début de tes règles ftp:

iptables -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --sport 20 -m state --state ! RELATED -j LOG --log-prefix "FTP_TEST: "

Ca loggera ce qui vient sur depuis un port 20 et qui n'est pas considéré comme connexion en relation avec une connexion existante.

Connecte toi ensuite sur ftp.kernel.org et après le listage échoué, regarde dans tes logs:

cat /var/log/syslog | grep FTP_TEST

Et colle ici ce que te donnera cette commande.

Ca ne marche pas les inscriptions dans le log de "syslog". Je ne trouve aucune information sur le comportement du firewall dans les logs : /var/log/syslog, /var/log/messages, /var/log/lastlog et tout le reste.

Je ne comprends pas trop pourquoi le ftp ne veut pas marcher !!!!!!

Salut,

Linux a un module ip_conntrack_ftp, qui permet en général de résoudre les difficultés de gestion des sessions FTP passives :

http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Fire...


Dal

Ah ben vi....
Je m'emmêle les pinceaux, je sais jamais si c'est pour les serveurs ou les clients, mais c'est pour les clients....

Donc:

modprobe ip_conntrack_ftp

Exact c'est pour les clients et pas pour un serveur ftp dans mon réseau !!!!!

j'ai juste à rajouter ca et ca va marcher ??

Ca devrait marcher.

Toujours parler de ce genre de choses au conditionnel ;-)

Ca ne marche toujours pas. En exécutant la commande "lsmod" je vois bien que le module "ip_conntrack_ftp" est démarré.

J'ai fouillé un peu sur le net et j'ai trouvé un tuto intéressant : cela parle de ce module avec les connections ftp vers les serveur sur internet.


Dans le cas d'une connexion en mode actif :

En fait lorsqu'on ouvre notre navigateur et on tape "ftp:// ..." : donc on veut accéder à un ftp sur le net; on se connecte sur le port 21 du serveur.
Ensuite le client ftp indique au serveur sur quel port est-ce-que ce dernier doit se connecter (ex : port 3084).

le serveur se met sur son port 20 et transmet les données au client sur son port 3084. Et comme sur le firewall du client les ports non reconnus comme 3084 ne sont pas ouvert. Donc ca bloque : PROBLEME : en gros c'est ce qui m'arrive

SOLUTION :
Activer le module "ip_conntrack_ftp"

Il donne la 1ère règle à ajouter :
iptables -I INPUT 1 -p tcp --sport 21 -m state --state ESTABLISHED
-j ACCEPT

Et ensuite il dit qu'il faut une 2ème règle pour :

Pour autoriser les transferts de données en FTP depuis le serveur vers notre
machine, il faudra donc autoriser les connexions provenant du port 20 du serveur
FTP et qui sont liées à la connexion de 'commandes' qui a été initiée juste
avant par notre machine (statut RELATED). N'oubliez pas de rajouter le statut
ESTABLISHED, en eet, la connexion n'aura le statut RELATED qu'un
cours instant, une fois identiée par netlter et par le client FTP, elle deviendra
ESTABLISHED


Mais il ne donne pas la règle : moi j'ai pensé à ca :

iptables -A INPUT -i eth1 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT


Tu penses que c'est bon ou pas ?? j'ai essayé et cela ne marche pas ??
Je vais bien y arriver !!!!!

En fait j'ai ces lignes pour le ftp :

------------------------- début des règles --------------------------------

chain INPUT


iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT

#FTP actif
iptables -A INPUT -i eth1 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT


chain FORWARD


iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT


chain OUTPUT

iptables -A OUTPUT -o eth1 -p tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 20 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


# Autoriser le suivi de connexion ftp en mode actif vers internet (module "ip_conntrack_ftp" est present dans /etc/init.d/firewall)

-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT

------------------------- Fin des règles --------------------------------


Tout ce qui est en gras c'est ce que j'ai rajouté pour faire fonctionner le ftp en mode actif. Ca marche 1 fois sur 2 : donc 1 fois sur 2 je visualise les répertoires du serveur ftp (et je peux même télécharger des fichiers). Et j'essaie de me deconnecter et de me reconnecter et cela ne marche plus.

Etat actuel : Le mode passif ne marche pas mais le mode actif marche de temps en temps


Je ne comprends pas ???? Merci de m'aider

Salut,

Je viens rajouter mon grain de sel :)

N'oublies pas de charger également le module ip_nat_ftp, ca marchera mieux.

Je vais ici écrire quelques règles pour le ftp ... il y des règles justes dans les exemples ci dessus, mais je préfère tout écrire, autant pour la passerelle que pour le lan.

net = interface du net
lan = interface du lan

#Regles pour la passerelle
#Afin qu'elle puisse accéder à un serveur ftp sur le net
#la passerelle est donc cliente dans ce cas...

iptables -A OUTPUT -o $net -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $net -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

#ftp actif
iptables -A OUTPUT -o $net -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i $net -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT

#ftp passif
iptables -A OUTPUT -o $net -p tcp --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $net -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT

# Fin de config pour la passerelle
# On passe au LAN

iptables -A FORWARD -i $lan -o $net -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $net -o $lan -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

# ftp actif

iptables -A FORWARD -i $lan -o $net -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $net -o $lan -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

#ftp passif

iptables -A FORWARD -i $lan -o $net -p tcp --sport 1024: --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $net -o $lan -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT


Voila ;)

rappel :

ftp actif : c'est LE SERVEUR FTP qui créé la seconde connexion (connexion "données") avec son port 20, c'est pour cela qu'on dit que le serveur est actif.

ftp passif : c'est LE CLIENT qui créé la seconde connexion. Le serveur FTP est en attente du client, c'est pour cela qu'il est passif. Le client et le serveur utilisent tous les deux des ports hauts. Il est possible d'affiner les règles de filtrage concernant les ports hauts pour le mode passif...(demander si besoin plus d'infos).

Le mode passif fonctionne mais pas le mode actif. Je ne sais pas trop pourquoi : j'ai analysé tes règles elles ont l'air bonne.

J'utilise fillezilla pour tester mais lorsque j'utilise le navigateur web pour tester le ftp ca marche.

donc je ne sais pas trop quoi en penser !!!!

J'ai chargé le module "ip_nat_ftp" et c'est bon. Ca marche autant en actif qu'en passif.

Tout marche nickel, merci c'est trop bien.

Très instructive toute cette discussion.
Pour moi ip_nat_ftp c'était juste pour les serveurs ftp derrière du nat mais apparemment c'est aussi pour les clients en actif....

Je ne savais pas non plus que le port 20 était juste utilisé dans le mode actif...

Merci :-)