ftp derriere iptables : Address already in use
Le
jacek_lempicki
> > Pouvez-vous m'expliquer pourquoi ?
> Oui, si vous nous dites dans quel mode vous vous connectez, si le problème se > présente sur tous les serveurs ftp, etc.
Mode : je tape bonnement "ftp celui.la
- c'est le mode active, enfin il me semble.
Commande est "ls" ou bien "get quelque-chose",
Au moins 2 seveurs sont atteints, ftp.fr.debian.org et
ftp.us.debian.org
Commande "wget ftp://ftp.fr.debian.org" m'affirme :
green:/var/log# wget ftp://ftp.fr.debian.org
--20:44:41-- ftp://ftp.fr.debian.org/
=> `.listing'
Resolving ftp.fr.debian.org done.
Connecting to ftp.fr.debian.org[212.27.32.66]:21 connected.
Logging in as anonymous Logged in!
==> SYST done. ==> PWD done.
==> TYPE I done. ==> CWD not needed.
==> PORT
Invalid PORT.
Retrying.
--20:44:42-- ftp://ftp.fr.debian.org/
(try: 2) => `.listing'
.
donc, je suis toujours dans le chou
> Pas de quoi.
Je resollicite Votre Bonté car visiblement le mécanisme ip_nat_ftp
ne marche pas chez moi comme ailleurs. Je l'installe bien sur le
parfeu
et il reste bien "unused"
Si ça de l'importance, je l'installe par "modprobe ip_nat_ftp" au
début de mon script avec des iptables's et en faisant "lsmod"
j'obtiens :
Module Size Used by Not tainted
ip_nat_ftp 2844 0 (unused)
iptable_nat 12660 2 (autoclean) [ip_nat_ftp]
J'ai viré la ligne "iptables --dport 20 " sans beacoup d'espoir
ni d'effet.
Jacek
-
Dans le message <news:1dee9dd9.0502230842.5d21ea35@posting.google.com>,
*Jacek* tapota sur f.c.o.l.configuration :
> Bonjour,
Bonsoir,
> ftp d'une machine protégée se connecte bien sur le serveur,
> execute bien de commandes "cd " mais ne transfert pas ni ne liste
> pas des contenus des répértoires "ls" en s'excusant :
> 500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une
erreur. Il aurait été logique alors de nous rapporter quelle commande
PORT a été envoyée Il faudrait aussi nous dire si vous utilisez le
mode actif ou passif car il peut s'agir d'un bug au niveau du client
ftp.
> ftp: bind: Address already in use
L'erreur indique que le client veut écouter sur une adresse et un port
déjà en écoute.
> ftp version 0.17-9 orginaire de debian 3.0
Vous pouvez rajouter l'option '-v' à la commande 'ftp' ou l'option
verbose dans la ligne de commande de ftp pour rendre plus bavard les
échanges ftp.
Et sinon avec un autre client ftp, même problème ? Par exemple wget,
lynx, etc qui sont générallement présents sur les distributions.
> les directives iptables :
> iptables -P FORWARD DROP
> iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j
> ACCEPT
> iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j
> ACCEPT
Inutile. Le module ip_nat_ftp et votre précédente règle se chargent
d'autoriser ou non à forwarder les connexions ftp-data.
> iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j
> ACCEPT
>
> iptables -A FORWARD -j LOG --log-prefix "drop forward : "
> Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part),
> qui reste unused. ip_forward est bien à 1.
> iptables est v1.2.6a
> accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il
> ne change rien.
J'ai expliqué pourquoi.
> Pouvez-vous m'expliquer pourquoi ?
Oui, si vous nous dites dans quel mode vous vous connectez, si le
problème se présente sur tous les serveurs ftp, etc.
Merci & a+
Pas de quoi.
--
TiChou
> Oui, si vous nous dites dans quel mode vous vous connectez, si le problème se > présente sur tous les serveurs ftp, etc.
Mode : je tape bonnement "ftp celui.la
- c'est le mode active, enfin il me semble.
Commande est "ls" ou bien "get quelque-chose",
Au moins 2 seveurs sont atteints, ftp.fr.debian.org et
ftp.us.debian.org
Commande "wget ftp://ftp.fr.debian.org" m'affirme :
green:/var/log# wget ftp://ftp.fr.debian.org
--20:44:41-- ftp://ftp.fr.debian.org/
=> `.listing'
Resolving ftp.fr.debian.org done.
Connecting to ftp.fr.debian.org[212.27.32.66]:21 connected.
Logging in as anonymous Logged in!
==> SYST done. ==> PWD done.
==> TYPE I done. ==> CWD not needed.
==> PORT
Invalid PORT.
Retrying.
--20:44:42-- ftp://ftp.fr.debian.org/
(try: 2) => `.listing'
.
donc, je suis toujours dans le chou
> Pas de quoi.
Je resollicite Votre Bonté car visiblement le mécanisme ip_nat_ftp
ne marche pas chez moi comme ailleurs. Je l'installe bien sur le
parfeu
et il reste bien "unused"
Si ça de l'importance, je l'installe par "modprobe ip_nat_ftp" au
début de mon script avec des iptables's et en faisant "lsmod"
j'obtiens :
Module Size Used by Not tainted
ip_nat_ftp 2844 0 (unused)
iptable_nat 12660 2 (autoclean) [ip_nat_ftp]
J'ai viré la ligne "iptables --dport 20 " sans beacoup d'espoir
ni d'effet.
Jacek
-
Dans le message <news:1dee9dd9.0502230842.5d21ea35@posting.google.com>,
*Jacek* tapota sur f.c.o.l.configuration :
> Bonjour,
Bonsoir,
> ftp d'une machine protégée se connecte bien sur le serveur,
> execute bien de commandes "cd " mais ne transfert pas ni ne liste
> pas des contenus des répértoires "ls" en s'excusant :
> 500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une
erreur. Il aurait été logique alors de nous rapporter quelle commande
PORT a été envoyée Il faudrait aussi nous dire si vous utilisez le
mode actif ou passif car il peut s'agir d'un bug au niveau du client
ftp.
> ftp: bind: Address already in use
L'erreur indique que le client veut écouter sur une adresse et un port
déjà en écoute.
> ftp version 0.17-9 orginaire de debian 3.0
Vous pouvez rajouter l'option '-v' à la commande 'ftp' ou l'option
verbose dans la ligne de commande de ftp pour rendre plus bavard les
échanges ftp.
Et sinon avec un autre client ftp, même problème ? Par exemple wget,
lynx, etc qui sont générallement présents sur les distributions.
> les directives iptables :
> iptables -P FORWARD DROP
> iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j
> ACCEPT
> iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j
> ACCEPT
Inutile. Le module ip_nat_ftp et votre précédente règle se chargent
d'autoriser ou non à forwarder les connexions ftp-data.
> iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j
> ACCEPT
>
> iptables -A FORWARD -j LOG --log-prefix "drop forward : "
> Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part),
> qui reste unused. ip_forward est bien à 1.
> iptables est v1.2.6a
> accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il
> ne change rien.
J'ai expliqué pourquoi.
> Pouvez-vous m'expliquer pourquoi ?
Oui, si vous nous dites dans quel mode vous vous connectez, si le
problème se présente sur tous les serveurs ftp, etc.
Merci & a+
Pas de quoi.
--
TiChou
Poser une question
Note : réponds plutôt dans le fil de discussion que tu as ouvert au lieu
d'en commencer un autre. Sinon on ne s'y retrouve plus.
(Quoi, ce serait Google qui supprime les références ? Mauvaise
interface, changer interface)
Ça dépend du client FTP. Le client de netkit-ftp (installé par défaut
avec Woody) démarre en mode actif par défaut sauf si invoqué par "pftp".
Par contre celui de lukemftp se lance en mode passif par défaut.
Et si tu essaies en mode passif (pftp pour lancer ftp en mode passif ou
commande "passive" dans ftp pour basculer entre les modes actif et passif) ?
et avec l'option --passive-ftp ?
Pareil ici et ça marche, donc ça doit être normal.
Il doit y avoir aussi ceux-là normalement :
ip_conntrack_ftp
ip_tables
ip_conntrack
--
Pascal
Vous pouvez me tutoyer.
Piège à spam :
lapsus, lire "ne marche pas chez moi de la même manière que chez les autres"
ben justement c'est ip_conntrack_ftp qui ne veut pas se charger tout seul.
honte et confusion à moi, c'était écrit partout.
merci à toi et à TiChou
jacek
J'avais compris. Je répondais à "ip_nat_ftp reste unused" : c'est pareil
ici même pendant que des transferts FTP sont en cours.
Bizarre. Normalement il y a une dépendance de modules qui fait que
ip_nat_ftp ne peut pas se charger sans ip_conntrack_ftp.
--
Pascal
Vous pouvez me tutoyer.
Piège à spam :
J'ai (lsmod)
Module Size Used by Not tainted
ip_nat_ftp 2944 0 (unused)
ip_conntrack_ftp 3200 0 (unused)
ipt_LOG 3136 3 (autoclean)
ipt_limit 960 0 (autoclean)
ipt_state 608 42 (autoclean)
iptable_mangle 2112 0 (autoclean) (unused)
iptable_nat 12660 2 (autoclean) [ip_nat_ftp]
ip_conntrack 12684 3 (autoclean) [ip_nat_ftp
ip_conntrack_ftp ipt_state iptable_nat]
iptable_filter 1728 1 (autoclean)
ip_tables 10432 8 [ipt_LOG ipt_limit ipt_state
iptable_mangle iptable_nat iptable_filter]
Si 'Not tainted' veut dire 'est nécessaire pour' il y a une dépendance
entre nat et conntrack 'générique' mais pas ftp.
J'ai le noyeau 2.4.18-bf2.4 venant du vieux Debian 3.0 r1
herbizarre root # lsmod
Module Size Used by Not tainted
herbizarre root # modprobe ip_nat_ftp
herbizarre root # lsmod
Module Size Used by Not tainted
ip_conntrack_ftp 4496 1 (autoclean)
ip_nat_ftp 3472 0 (unused)
iptable_nat 18776 1 [ip_nat_ftp]
ip_conntrack 23048 2 [ip_conntrack_ftp ip_nat_ftp iptable_nat]
ip_tables 12992 3 [iptable_nat]
Le module ip_nat_ftp est donc bien dépendant du module ip_conntrack_ftp.
herbizarre root # uname -r
2.4.20-gentoo-r7
--
TiChou