IPtables et FTP passif : c'est moi ou la conntrack loupe des paquets

Le
David Guyot
--5mCyUwZo2JvN/JJP
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Salut, la liste.

J'ai un problème étrange que voici : nous hébergeons un=
service FTP
derrière un pare-feu, service FTP accessible en mode passif uniquement.
J'ai donc configuré le démon ProFTPd avec la directive «Â=
 PassivePorts
50000 50500 » et ai débloqué les ports FTP comme suit=
 :

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destina=
tion
386 78016 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0=
/0 /* loopback@localhost */
4 176 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpt:21flags: 0x17/0x02 limit: avg 5/min burst 50 recent: =
SET name: FTP side: source
0 0 LOGDROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpt:21flags: 0x17/0x02 recent: UPDATE seconds: 60 hit_cou=
nt: 6 TTL-Match name: FTP side: source
57 2516 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpt:21
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpts:50000:50500 state RELATED,ESTABLISHED
# …
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destina=
tion
386 78016 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0=
/0 /* loopback@localhost */
38 2684 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0=
/0 tcp spt:21
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0=
/0 tcp spts:50000:50500 state RELATED,ESTABLISHED
# …
Chain LOGDROP (14 references)
pkts bytes target prot opt in out source destina=
tion
23 3586 LOG all -- * * 0.0.0.0/0 0.0.0.0=
/0 limit: avg 1/sec burst 5 LOG flags 0 level 5 prefix "iptables=
rejected: "
35 5923 DROP all -- * * 0.0.0.0/0 0.0.0.0=
/0

Je tiens à préciser que ces règles sont identiques à ce=
lles d'un autre
serveur sur lequel ProFTPd est parfaitement accessible et dispose de la
même configuration. La seule différence logicielle pertinente que=
je
connaisse est que le serveur problématique est sous Wheezy, le
fonctionnel sous Squeeze.

Le problème se manifeste lors de la tentative d'établissement de =
la
connexion passive entre mon serveur 37.187.25.210 et mon client
37.72.199.45 : FileZilla bloque à la commande MLSD ; voici la
sortie de tcpdump lors de cet échec :

root@Procyon:/etc/proftpd# tcpdump -X host 37.72.199.45 =

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:01:21.489481 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [S], seq 1010510494, win 32120, options [mss 1460], length 0
0x0000: 4500 002c b852 0000 7206 6477 2548 c72d E..,.R..r.dw%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2a9e 0000 0000 %.<;*..
0x0020: 6002 7d78 f19c 0000 0204 05b4 0000 `.}x.
16:01:21.489529 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [S.], seq 3904347910, ack 1010510495, win 14600, options [mss 14=
60], length 0
0x0000: 4500 002c 0000 4000 4006 0eca 25bb 19d2 E..,..@.@%
0x0010: 2548 c72d 0015 9620 e8b7 9f06 3c3b 2a9f %H.-..<;*.
0x0020: 6012 3908 2c21 0000 0204 05b4 `.9.,!
16:01:21.515001 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 1, win 32120, length 0
0x0000: 4500 0028 b858 0000 7206 6475 2548 c72d E..(.X..r.du%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2a9f e8b7 9f07 %.<;*..
0x0020: 5010 7d78 818a 0000 0000 0000 0000 P.}x.
16:01:21.516426 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [P.], seq 1:60, ack 1, win 14600, length 59
0x0000: 4500 0063 bd73 4000 4006 511f 25bb 19d2 E..c.s@.@.Q.%
0x0010: 2548 c72d 0015 9620 e8b7 9f07 3c3b 2a9f %H.-..<;*.
0x0020: 5018 3908 2c58 0000 3232 3020 5072 6f46 P.9.,X..220.ProF
0x0030: 5450 4420 312e 332e 3461 2053 6572 7665 TPD.1.3.4a.Serve
0x0040: 7220 2844 6562 6961 6e29 205b 3a3a 6666 r.(Debian).[::ff
0x0050: 6666 3a33 372e 3138 372e 3235 2e32 3130 ff:37.187.25.210
0x0060: 5d0d 0a ]..
16:01:21.541301 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 60, win 32061, length 0
0x0000: 4500 0028 b85e 0000 7206 646f 2548 c72d E..(.^..r.do%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2a9f e8b7 9f42 %.<;*.B
0x0020: 5010 7d3d 818a 0000 0000 0000 0000 P.}=.
16:01:23.047964 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [P.], seq 1:16, ack 60, win 32120, length 15
0x0000: 4500 0037 b8f2 0000 7206 63cc 2548 c72d E..7.r.c.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2a9f e8b7 9f42 %.<;*.B
0x0020: 5018 7d78 54be 0000 5553 4552 2077 7777 P.}xTUSER.www
0x0030: 2d64 6174 610d 0a -data..
16:01:23.048005 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [.], ack 16, win 14600, length 0
0x0000: 4500 0028 bd74 4000 4006 5159 25bb 19d2 E..(.t@.@.QY%
0x0010: 2548 c72d 0015 9620 e8b7 9f42 3c3b 2aae %H.-.B<;*.
0x0020: 5010 3908 2c1d 0000 P.9.,
16:01:23.048251 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [P.], seq 60:99, ack 16, win 14600, length 39
0x0000: 4500 004f bd75 4000 4006 5131 25bb 19d2 E..O.u@.@.Q1%
0x0010: 2548 c72d 0015 9620 e8b7 9f42 3c3b 2aae %H.-.B<;*.
0x0020: 5018 3908 2c44 0000 3333 3120 4d6f 7420 P.9.,D..331.Mot.
0x0030: 6465 2070 6173 7365 2072 6571 7569 7320 de.passe.requis.
0x0040: 706f 7572 2077 7777 2d64 6174 610d 0a pour.www-data..
16:01:23.073058 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 99, win 32081, length 0
0x0000: 4500 0028 b8f7 0000 7206 63d6 2548 c72d E..(.r.c.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2aae e8b7 9f69 %.<;*.i
0x0020: 5010 7d51 8140 0000 0000 0000 0000 P.}Q.@..
16:01:23.848123 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [P.], seq 16:33, ack 99, win 32120, length 17
0x0000: 4500 0039 b961 0000 7206 635b 2548 c72d E..9.a..r.c[%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2aae e8b7 9f69 %.<;*.i
#####################################################################
# CENSURÉ #
#####################################################################
16:01:23.854457 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [P.], seq 99:138, ack 33, win 14600, length 39
0x0000: 4500 004f bd76 4000 4006 5130 25bb 19d2 E..O.v@.@.Q0%
0x0010: 2548 c72d 0015 9620 e8b7 9f69 3c3b 2abf %H.-.i<;*.
0x0020: 5018 3908 2c44 0000 3233 3020 5574 696c P.9.,D..230.Util
0x0030: 6973 6174 6575 7220 7777 772d 6461 7461 isateur.www-data
0x0040: 2061 7574 6865 6e74 6966 69c3 a90d 0a .authentifi.
16:01:23.879322 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 138, win 32081, length 0
0x0000: 4500 0028 b965 0000 7206 6368 2548 c72d E..(.e..r.ch%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2abf e8b7 9f90 %.<;*..
0x0020: 5010 7d51 8108 0000 0000 0000 0000 P.}Q.
16:01:24.648343 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [P.], seq 33:47, ack 138, win 32120, length 14
0x0000: 4500 0036 b9c9 0000 7206 62f6 2548 c72d E..6.r.b.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2abf e8b7 9f90 %.<;*..
0x0020: 5018 7d78 d413 0000 4f50 5453 2055 5446 P.}x.OPTS.UTF
0x0030: 3820 4f4e 0d0a 8.ON..
16:01:24.648487 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [P.], seq 138:157, ack 47, win 14600, length 19
0x0000: 4500 003b bd77 4000 4006 5143 25bb 19d2 E..;.w@.@.QC%
0x0010: 2548 c72d 0015 9620 e8b7 9f90 3c3b 2acd %H.-..<;*.
0x0020: 5018 3908 2c30 0000 3230 3020 5554 462d P.9.,0..200.UTF-
0x0030: 3820 6163 7469 76c3 a90d 0a 8.activ.
16:01:24.673321 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 157, win 32101, length 0
0x0000: 4500 0028 b9ca 0000 7206 6303 2548 c72d E..(.r.c.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2acd e8b7 9fa3 %.<;*..
0x0020: 5010 7d65 80d3 0000 0000 0000 0000 P.}e.
16:01:25.487831 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [P.], seq 47:52, ack 157, win 32120, length 5
0x0000: 4500 002d ba20 0000 7206 62a8 2548 c72d E..-.r.b.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2acd e8b7 9fa3 %.<;*..
0x0020: 5018 7d78 e24e 0000 5057 440d 0a00 P.}x.N..PWD
16:01:25.487957 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [P.], seq 157:193, ack 52, win 14600, length 36
0x0000: 4500 004c bd78 4000 4006 5131 25bb 19d2 E..L.x@.@.Q1%
0x0010: 2548 c72d 0015 9620 e8b7 9fa3 3c3b 2ad2 %H.-..<;*.
0x0020: 5018 3908 2c41 0000 3235 3720 222f 2220 P.9.,A..257."/".
0x0030: 6573 7420 6c65 2072 c3a9 7065 7274 6f69 est.le.r..pertoi
0x0040: 7265 2063 6f75 7261 6e74 0d0a re.courant..
16:01:25.512833 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 193, win 32084, length 0
0x0000: 4500 0028 ba22 0000 7206 62ab 2548 c72d E..(."..r.b.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ad2 e8b7 9fc7 %.<;*..
0x0020: 5010 7d54 80bb 0000 0000 0000 0000 P.}T.
16:01:26.287436 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [P.], seq 52:60, ack 193, win 32120, length 8
0x0000: 4500 0030 ba5a 0000 7206 626b 2548 c72d E..0.Z..r.bk%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ad2 e8b7 9fc7 %.<;*..
0x0020: 5018 7d78 ae95 0000 5459 5045 2049 0d0a P.}x.TYPE.I..
16:01:26.287588 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [P.], seq 193:220, ack 60, win 14600, length 27
0x0000: 4500 0043 bd79 4000 4006 5139 25bb 19d2 E..C.y@.@.Q9%
0x0010: 2548 c72d 0015 9620 e8b7 9fc7 3c3b 2ada %H.-..<;*.
0x0020: 5018 3908 2c38 0000 3230 3020 5479 7065 P.9.,8..200.Type
0x0030: 2070 6172 616d c3a9 7472 c3a9 20c3 a020 .param..tr
0x0040: 490d 0a I..
16:01:26.312450 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 220, win 32093, length 0
0x0000: 4500 0028 ba5c 0000 7206 6271 2548 c72d E..(...r.bq%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ada e8b7 9fe2 %.<;*..
0x0020: 5010 7d5d 808f 0000 0000 0000 0000 P.}].
16:01:27.087258 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [P.], seq 60:66, ack 220, win 32120, length 6
0x0000: 4500 002e baaf 0000 7206 6218 2548 c72d E.r.b.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ada e8b7 9fe2 %.<;*..
0x0020: 5018 7d78 cfc4 0000 5041 5356 0d0a P.}x.PASV..
16:01:25.487957 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [P.], seq 157:193, ack 52, win 14600, length 36
0x0000: 4500 004c bd78 4000 4006 5131 25bb 19d2 E..L.x@.@.Q1%
0x0010: 2548 c72d 0015 9620 e8b7 9fa3 3c3b 2ad2 %H.-..<;*.
0x0020: 5018 3908 2c41 0000 3235 3720 222f 2220 P.9.,A..257."/".
0x0030: 6573 7420 6c65 2072 c3a9 7065 7274 6f69 est.le.r..pertoi
0x0040: 7265 2063 6f75 7261 6e74 0d0a re.courant..
16:01:25.512833 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 193, win 32084, length 0
0x0000: 4500 0028 ba22 0000 7206 62ab 2548 c72d E..(."..r.b.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ad2 e8b7 9fc7 %.<;*..
0x0020: 5010 7d54 80bb 0000 0000 0000 0000 P.}T.
16:01:26.287436 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [P.], seq 52:60, ack 193, win 32120, length 8
0x0000: 4500 0030 ba5a 0000 7206 626b 2548 c72d E..0.Z..r.bk%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ad2 e8b7 9fc7 %.<;*..
0x0020: 5018 7d78 ae95 0000 5459 5045 2049 0d0a P.}x.TYPE.I..
16:01:26.287588 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [P.], seq 193:220, ack 60, win 14600, length 27
0x0000: 4500 0043 bd79 4000 4006 5139 25bb 19d2 E..C.y@.@.Q9%
0x0010: 2548 c72d 0015 9620 e8b7 9fc7 3c3b 2ada %H.-..<;*.
0x0020: 5018 3908 2c38 0000 3230 3020 5479 7065 P.9.,8..200.Type
0x0030: 2070 6172 616d c3a9 7472 c3a9 20c3 a020 .param..tr
0x0040: 490d 0a I..
16:01:26.312450 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 220, win 32093, length 0
0x0000: 4500 0028 ba5c 0000 7206 6271 2548 c72d E..(...r.bq%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ada e8b7 9fe2 %.<;*..
0x0020: 5010 7d5d 808f 0000 0000 0000 0000 P.}].
16:01:27.087258 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [P.], seq 60:66, ack 220, win 32120, length 6
0x0000: 4500 002e baaf 0000 7206 6218 2548 c72d E.r.b.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ada e8b7 9fe2 %.<;*..
0x0020: 5018 7d78 cfc4 0000 5041 5356 0d0a P.}x.PASV..
16:01:27.087408 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [P.], seq 220:272, ack 66, win 14600, length 52
0x0000: 4500 005c bd7a 4000 4006 511f 25bb 19d2 E...z@.@.Q.%
0x0010: 2548 c72d 0015 9620 e8b7 9fe2 3c3b 2ae0 %H.-..<;*.
0x0020: 5018 3908 2c51 0000 3232 3720 456e 7465 P.9.,Q..227.Ente
0x0030: 7269 6e67 2050 6173 7369 7665 204d 6f64 ring.Passive.Mod
0x0040: 6520 2833 372c 3138 372c 3235 2c32 3130 e.(37,187,25,210
0x0050: 2c31 3935 2c31 3239 292e 0d0a ,195,129)
16:01:27.112499 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [.], ack 272, win 32068, length 0
0x0000: 4500 0028 bab2 0000 7206 621b 2548 c72d E..(.r.b.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ae0 e8b7 a016 %.<;*..
0x0020: 5010 7d44 806e 0000 0000 0000 0000 P.}D.n..
16:01:28.007094 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.38432 > Procyon.=
ftp: Flags [P.], seq 66:72, ack 272, win 32120, length 6
0x0000: 4500 002e bb26 0000 7206 61a1 2548 c72d E.&..r.a.%H.-
0x0010: 25bb 19d2 9620 0015 3c3b 2ae0 e8b7 a016 %.<;*..
0x0020: 5018 7d78 d291 0000 4d4c 5344 0d0a P.}x.MLSD..
16:01:28.007132 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.55809 > Procyon.=
50049: Flags [S], seq 2526700299, win 8192, options [mss 1460,nop,wscale 2,=
nop,nop,sackOK], length 0
0x0000: 4500 0034 344e 4000 7206 a873 2548 c72d E..44N@.r..s%H.-
0x0010: 25bb 19d2 da01 c381 969a 630b 0000 0000 %c..
0x0020: 8002 2000 8bea 0000 0204 05b4 0103 0302 .
0x0030: 0101 0402 .
16:01:28.046608 IP Procyon.ftp > 45.199.72.37.dynamic.sat.abo.nordnet.fr.38=
432: Flags [.], ack 72, win 14600, length 0
0x0000: 4500 0028 bd7b 4000 4006 5152 25bb 19d2 E..(.{@.@.QR%
0x0010: 2548 c72d 0015 9620 e8b7 a016 3c3b 2ae6 %H.-..<;*.
0x0020: 5010 3908 2c1d 0000 P.9.,
16:01:31.004018 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.55809 > Procyon.=
50049: Flags [S], seq 2526700299, win 8192, options [mss 1460,nop,wscale 2,=
nop,nop,sackOK], length 0
0x0000: 4500 0034 0a84 4000 7206 d23d 2548 c72d E..4..@.r..=%H.-
0x0010: 25bb 19d2 da01 c381 969a 630b 0000 0000 %c..
0x0020: 8002 2000 8bea 0000 0204 05b4 0103 0302 .
0x0030: 0101 0402 .
16:01:34.966828 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.55809 > Procyon.=
50049: Flags [S], seq 3270291668, win 8192, options [mss 1460,nop,wscale 2,=
nop,nop,sackOK], length 0
0x0000: 4500 0034 1ca9 4000 7206 c018 2548 c72d E..4..@.r%H.-
0x0010: 25bb 19d2 da01 c381 c2ec b0d4 0000 0000 %
0x0020: 8002 2000 11cf 0000 0204 05b4 0103 0302 .
0x0030: 0101 0402 .
16:01:37.970346 IP 45.199.72.37.dynamic.sat.abo.nordnet.fr.55809 > Procyon.=
50049: Flags [S], seq 3270291668, win 8192, options [mss 1460,nop,wscale 2,=
nop,nop,sackOK], length 0
0x0000: 4500 0034 7acf 4000 7206 61f2 2548 c72d E..4z.@.r.a.%H.-
0x0010: 25bb 19d2 da01 c381 c2ec b0d4 0000 0000 %
0x0020: 8002 2000 11cf 0000 0204 05b4 0103 0302 .
0x0030: 0101 0402 .
^C
30 packets captured
30 packets received by filter
0 packets dropped by kernel
3 packets dropped by interface

Comme vous pouvez le constater sur cette capture, le serveur reçoit bi=
en
les paquets SYN du client préalables à l'ouverture de la connexio=
n TCP
passive, mais n'y répond pas. Dans le même temps, les journaux sy=
stème
me donnent la sortie suivante :

Jun 24 16:01:28 Procyon kernel: [1564757.940283] iptables rejected: IN=et=
h0 OUT= MAC=00:25:90:a6:23:0e:1c:e6:c7:52:07:40:08:00 SRC=37.72.199.4=
5 DST=37.187.25.210 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=13390 =
DF PROTO=TCP SPT=55809 DPT=50049 WINDOW=8192 RES=0x00 SYN URGP==
0
Jun 24 16:01:31 Procyon kernel: [1564760.929073] iptables rejected: IN=et=
h0 OUT= MAC=00:25:90:a6:23:0e:1c:e6:c7:52:07:40:08:00 SRC=37.72.199.4=
5 DST=37.187.25.210 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=2692 D=
F PROTO=TCP SPT=55809 DPT=50049 WINDOW=8192 RES=0x00 SYN URGP=0=

Jun 24 16:01:34 Procyon kernel: [1564764.881146] iptables rejected: IN=et=
h0 OUT= MAC=00:25:90:a6:23:0e:1c:e6:c7:52:07:40:08:00 SRC=37.72.199.4=
5 DST=37.187.25.210 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=7337 D=
F PROTO=TCP SPT=55809 DPT=50049 WINDOW=8192 RES=0x00 SYN URGP=0=

Jun 24 16:01:37 Procyon kernel: [1564767.876522] iptables rejected: IN=et=
h0 OUT= MAC=00:25:90:a6:23:0e:1c:e6:c7:52:07:40:08:00 SRC=37.72.199.4=
5 DST=37.187.25.210 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=31439 =
DF PROTO=TCP SPT=55809 DPT=50049 WINDOW=8192 RES=0x00 SYN URGP==
0

Comme je comprends cette sortie écran, elle m'indique deux chosesÂ=
 :
1) tcpdump lit les paquets tels qu'ils sont reçus et non pas tel q=
ue
le pare-feu les laisse passer, comportement que je suspectais mais que
je n'avais jamais observé jusqu'à présent ;
2) les paquets de la connexion passive sont bien reçus par le
serveur mais rejetés par son pare-feu.

Le second point me paraît étrange ; en effet, vu que les paq=
uets
correspondant à la connexion passive arrivent sur le port 50049 du
serveur, donc dans l'intervalle 50000-50500, et qu'ils sont liés à
l'établissement de la connexion passive, ils devraient correspondre =
à la
règle iptables INPUT « tcp dpts:50000:50500 state RELATED,ES=
TABLISHED » :
ces paquets étant liés à connexion FTP pré-existante su=
r le port 21,
ils devraient être acceptés par la règle sur l'état REL=
ATED, or ce
n'est pas le cas. Afin de dissiper le doute, j'ai décomposé les r=
ègles
des ports 50000-50500 et ait réinitialisé les compteurs du pare-f=
eu
puis la connexion FTP pour obtenir le résultat suivant :

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destina=
tion
6 715 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0=
/0 /* loopback@localhost */
1 44 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpt:21flags: 0x17/0x02 limit: avg 5/min burst 50 recent: =
SET name: FTP side: source
0 0 LOGDROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpt:21flags: 0x17/0x02 recent: UPDATE seconds: 60 hit_cou=
nt: 6 TTL-Match name: FTP side: source
17 751 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpt:21
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpts:50000:50500 state RELATED
3 120 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpts:50000:50500 state ESTABLISHED
1 52 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0=
/0 tcp dpts:50000:50500
# …
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destina=
tion
6 715 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0=
/0 /* loopback@localhost */
11 812 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0=
/0 tcp spt:21
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0=
/0 tcp spts:50000:50500 state RELATED
4 395 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0=
/0 tcp spts:50000:50500 state ESTABLISHED
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0=
/0 tcp spts:50000:50500
# …
Chain LOGDROP (14 references)
pkts bytes target prot opt in out source destina=
tion
5 1045 LOG all -- * * 0.0.0.0/0 0.0.0.0=
/0 limit: avg 1/sec burst 5 LOG flags 0 level 5 prefix "iptables=
rejected: "
9 1824 DROP all -- * * 0.0.0.0/0 0.0.0.0=
/0

Comme vous pouvez le voir, la règle OUTPUT concernant les paquets
de connexions à l'état RELATED, à savoir « tcp spt=
s:50000:50500 state
RELATED », n'est jamais appelée alors qu'elle aurait dû=
l'être dans ce
cas. J'analyse donc les résultats comme suit : le paquet SYN de la
connexion passive est reçu par le serveur, n'est pas reconnu comme une
connexion RELATED et passe par la troisième règle INPUT qui l'acc=
epte
uniquement sur la base du port de destination utilisé ; le serveur
répond à ce paquet, et la sortie de ce paquet est accepté pa=
r la règle
OUTPUT liée à l'état ESTABLISHED, puisque, comme il s'agit d=
'un paquet
en réponse à un autre, la machine à état d'iptables con=
sidère la
connexion ESTABLISHED. À partir de ce moment, tous les paquets à
destination du serveur sont acceptés par la règle INPUT liée=
à l'état
ESTABLISHED, ce qui explique qu'un seul paquet déclenche la règle=
INPUT
correspondant au seul port de destination.

Ma déduction est que la conntrack est défectueuse car elle a Ã=
©té
incapable de reconnaître la connexion FTP passive comme une connexion =
liée à
une autre connexion pré-existante, ce qui a fait échouer la rÃ=
¨gle
acceptant les paquets de connexions à l'état RELATED.

Me trompé-je en affirmant que le problème vient de la conntrack=
 ? Si
oui, où est mon erreur ? Sinon, si c'est bien un bug de la conntr=
ack,
que dois-je faire ? Ouvrir un ticket de bug ? Dans ce cas, concer=
nant
quel paquet ? Sinon, que faire d'autre ?

Dans l'attente de vos lumières,

Cordialement.
--
David Guyot
Administrateur système, réseau et télécommunications / =
Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
Tel: +33 (0)3 29 30 47 85
Fax : +33 (0)3 29 31 31 31

--5mCyUwZo2JvN/JJP
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature

--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.12 (GNU/Linux)
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=u6Jr
--END PGP SIGNATURE--

--5mCyUwZo2JvN/JJP--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140624144247.GA32052@europecamions-interactive.com
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
daniel huhardeaux
Le #26217042
Le 24/06/2014 16:42, David Guyot a écrit :
Salut, la liste.



Bonjour,


J'ai un problème étrange que voici : nous hébergeons un service FTP
derrière un pare-feu, service FTP accessible en mode passif uniquement.
J'ai donc configuré le démon ProFTPd avec la directive « PassivePorts
50000 50500 » et ai débloqué les ports FTP comme suit :


[...]

Pour du ftp c'est le module ip_conntrack_ftp. Est ce bien celui ci que
vous utilisez ?

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
David Guyot
Le #26218012
--3FyYKcuUbgqNYeqV
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le mardi 24 juin 2014 à 17:30:35 +0200, daniel huhardeaux a écrit:
Le 24/06/2014 16:42, David Guyot a écrit :
>Salut, la liste.

Bonjour,


Bonjour.

>
>J'ai un problème étrange que voici : nous hébergeons un service FTP
>derrière un pare-feu, service FTP accessible en mode passif uniquement.
>J'ai donc configuré le démon ProFTPd avec la directive « PassivePo rts
>50000 50500 » et ai débloqué les ports FTP comme suit :
[...]

Pour du ftp c'est le module ip_conntrack_ftp. Est ce bien celui ci
que vous utilisez ?



modprobe -c me donne, entre autres, les résultats suivants :
alias ip_conntrack_ftp nf_conntrack_ftp
alias ip_conntrack_tftp nf_conntrack_tftp
alias nfct_helper_ftp nf_conntrack_ftp
alias nfct_helper_tftp nf_conntrack_tftp
alias symbol:nf_nat_ftp_hook nf_conntrack_ftp
alias symbol:nf_nat_tftp_hook nf_conntrack_tftp

J'en déduis donc que le module utilisé est nf_conntrack_ftp, dont
ip_conntrack_ftp est un alias ; me trompé-je ?

Merci d'avance.

Cordialement.
--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
David Guyot
Administrateur système, réseau et télécommunications / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
Tel: +33 (0)3 29 30 47 85
Fax : +33 (0)3 29 31 31 31

--3FyYKcuUbgqNYeqV
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=3pFZ
-----END PGP SIGNATURE-----

--3FyYKcuUbgqNYeqV--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Pascal Hambourg
Le #26218322
David Guyot a écrit :

J'en déduis donc que le module utilisé est nf_conntrack_ftp, dont
ip_conntrack_ftp est un alias ; me trompé-je ?



Non, c'est correct.
La connexion de commande est visiblement en clair, donc si le module est
bien chargé ça devrait fonctionner. Comment le module est-il chargé ?
Pas d'option ports= avec une valeur différente de 21 pour ce module dans
/etc/modprobe.d/ ou /etc/modprobe.conf ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
David Guyot
Le #26218352
--wr1Q/2bz0MCWWNYv
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le mercredi 25 juin 2014 à 11:28:37 +0200, Pascal Hambourg a écri t:
David Guyot a écrit :
>
> J'en déduis donc que le module utilisé est nf_conntrack_ftp, dont
> ip_conntrack_ftp est un alias ; me trompé-je ?

Non, c'est correct.
La connexion de commande est visiblement en clair, donc si le module est
bien chargé ça devrait fonctionner. Comment le module est-il ch argé ?
Pas d'option ports= avec une valeur différente de 21 pour ce modul e dans
/etc/modprobe.d/ ou /etc/modprobe.conf ?


Le module n'apparaît pas dans la configuration de modprobe, ni
d'ailleurs où que ce soit dans /etc et ses sous-dossiers ; j'ai en
revanche trouvé les occurrences suivantes :
/lib/modules/3.2.0-4-amd64/modules.order:kernel/net/netfilter/nf_conntrack_ ftp.ko
/lib/modules/3.2.0-4-amd64/modules.symbols:alias symbol:nf_nat_ftp_hook nf_ conntrack_ftp
/lib/modules/3.2.0-4-amd64/modules.alias:alias nfct-helper-ftp nf_conntrack _ftp
/lib/modules/3.2.0-4-amd64/modules.alias:alias ip_conntrack_ftp nf_conntrac k_ftp

Il semble que le module ne soit donc chargé d'aucune option, du moins
n'en ai-je pas trouvé dans ces fichiers. Je continue les recherches⠀¦


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
David Guyot
Administrateur système, réseau et télécommunications / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
Tel: +33 (0)3 29 30 47 85
Fax : +33 (0)3 29 31 31 31

--wr1Q/2bz0MCWWNYv
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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 =TbXH
-----END PGP SIGNATURE-----

--wr1Q/2bz0MCWWNYv--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Pascal Hambourg
Le #26218372
David Guyot a écrit :

Le module n'apparaît pas dans la configuration de modprobe, ni
d'ailleurs où que ce soit dans /etc et ses sous-dossiers



Alors je répète ma question : comment est-il chargé ? D'ailleurs, est-il
chargé ? Ce n'est pas automatique. A vérifier avec lsmod.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
David Guyot
Le #26218512
--PY8tzLeNxmyMVNR3
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le mercredi 25 juin 2014 à 12:16:53 +0200, Pascal Hambourg a écri t:
Alors je répète ma question : comment est-il chargé ? D'ai lleurs, est-il
chargé ? Ce n'est pas automatique. A vérifier avec lsmod.


Eh ben ? Il n'était pas chargé, ce €çþà ° de module ! Je l'ai chargé
manuellement et ça a marché. Du coup, je me demande pourquoi il était
présent par défaut sous Squeeze et pas sous Wheezy ; le saur iez-vous ?
Sinon, c'est peut-être mon hébergeur roubaisien qui a modifià © l'image
d'installation dans ce sens… Si vous me dites que ça ne vient pas de
Debian, je leur en toucherai un mot, c'est le genre de module qui
devrait être chargé de base sur un serveur, du moins à mon s ens.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/




--
David Guyot
Administrateur système, réseau et télécommunications / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
Tel: +33 (0)3 29 30 47 85
Fax : +33 (0)3 29 31 31 31

--PY8tzLeNxmyMVNR3
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=Upl1
-----END PGP SIGNATURE-----

--PY8tzLeNxmyMVNR3--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
David Guyot
Le #26218752
--c7rykKtsZvepKFKR
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le mercredi 25 juin 2014 à 14:05:59 +0200, David Guyot a écrit:
Le mercredi 25 juin 2014 à 12:16:53 +0200, Pascal Hambourg a éc rit:
> Alors je répète ma question : comment est-il chargé ? D' ailleurs, est-il
> chargé ? Ce n'est pas automatique. A vérifier avec lsmod.
Eh ben ? Il n'était pas chargé, ce €çþ ð de module ! Je l'ai chargé
manuellement et ça a marché. Du coup, je me demande pourquoi il était
présent par défaut sous Squeeze et pas sous Wheezy ; le sa uriez-vous ?
Sinon, c'est peut-être mon hébergeur roubaisien qui a modifià © l'image
d'installation dans ce sens… Si vous me dites que ça ne vien t pas de
Debian, je leur en toucherai un mot, c'est le genre de module qui
devrait être chargé de base sur un serveur, du moins à mon sens.


Naaah, j'ai trouvé : avant, j'utilisais le noyau non modulaire de
l'hébergeur qui incluait ce module directement dans le noyau, donc pas
sous forme de module, mais ça c'était avant ; maintenant, j' utilise le
noyau modulaire de base de Debian, où il est nécessaire de charge r ce
module. Je le saurais pour la prochaine fois.

Merci de ton aide, Pascal !
--
David Guyot
Administrateur système, réseau et télécommunications / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
Tel: +33 (0)3 29 30 47 85
Fax : +33 (0)3 29 31 31 31

--c7rykKtsZvepKFKR
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=ihOS
-----END PGP SIGNATURE-----

--c7rykKtsZvepKFKR--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Publicité
Poster une réponse
Anonyme