|
|
|
|
Tu auras quand même besoin du port 21.
modprobe ip_conntrack_ftp Et iptables suivra le dialogue ftp pour ouvrir les ports passif quand il le faudra. Par contre il faut autoriser manuellement les connexions vers le port 21. Tiens un peu de lecture: http://www.linux-france.org/... |
Comme ça kilian ça va
|
Ouai en tappant ces commandes çe me dit rien , ça me remet ma ligne user@gniagnia
|
Quelques commentaires:
modprobe ip_nat_ftp Ca t'en a pas besoin sur ton ordinateur, seul le routeur qui est devant toi en a besoin, mais à priori les modem s'en chargent tout seuls. iptables -A INPUT -i eth0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT Inutile ici de préciser que le port source est le 21. Et d'ailleurs : iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT Ceci est une ligne vitale car elle signifie: pour toute connexion déjà initialisée auparavant => j'accepte. Oui si la connexion a déjà été intialisée ça signifie à priori qu'il n'y a pas de danger, et c'est une règle necessaire pour que toute communication se passe bien. Pour ce qui est des règles OUTPUT, je te suggère de ne pas en mettre pour l'instant est d'accepter que tout ce qui sort est permis par défaut: iptables -P OUTPUT ACCEPT D'ailleurs tes règles ne servent à rien si tu ne mets pas une politique de refus par défaut pour ce qui rentre: iptables -P INPUT DROP Donc comme je le disais teste d'abord sans règles d'OUPUT. Si ça marche, tu peux commencer à en mettre. Surtout que là tu filtres ce qui ne vient pas du port 21. Et je ne suis pas sûr que tout ce qui sortira viendra du port 21. Ensuite comme je t'ai dis si tu as chargé ip_conntrack_ftp, tes règles d'entrée en multiport sont inutiles. Le firewall fera ça dynamiquement. Ensuite je ne sais pas si c'est une bonne idée de choisir des ports aussi haut. Choisit peut être une rangée du genre 1024 à 1100. |
# Par defaut tout est ferme
|
Nan, on dirait que t'as pas vraiment lu mon message...
iptables -P INPUT DROP iptables -P OUTPUT ACCEPT #Pour l'instant on ne s'encombre pas à filtrer ce qui sort iptables -P FORWARD DROP #Ne pas oublier le RELATED, important car elle permet de laisser entrer une connexion liée à une autre iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED, RELATED -j ACCEPT #Une règle pour le port 21 iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT Comme je t'ai dit, pas besoin des règles sur les port 30000 etc... Le module ip_conntrack_ftp s'en chargera. Pour le port 20 je sais pas, au pire rajoute une ligne pour le port 20: iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT |
Ha ok excuse kilian , voilà dc à present mon iptables
|
En tout cas avec tes regles kilian Gtftp le repond
|
M'enfin perso je pencherai plus pour une mauvaise configuration (et je dirai même erreur dans la mise en place) de vsftpd, en me basant sur cette discussion, qu'un problème d'iptables et FTP passif ;-\
|
Acer aspire crete d'alimentation sur le port Connaitre les port ouvert d'un routeur F5d7633 wan port duplex Iptables centos Ouvrir port bbox 2 Pc portable port serie Port bloqué avec neuf wifi camera msn Port de donné ftp typsoft Port dv Port firewire ieee 1394 Port internet neuf box Port utorrent Port vga Port à utiliser site web 80 Protocole port description Reseau ed2k port inconnu Samba port Yahoo et orange port 587
