J'ai un petit soucis avec iptable pour authoriser les connection ftp.
j'ai ces regles ci pour laisser passer les flux ftp:
#On accepte les connections sortantes sur le port 20 et 21 FTP
iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m stat=
e
--state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m stat=
e
--state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20 -=
m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21 -=
m
state --state NEW,ESTABLISHED -j ACCEPT
ca marche nickel lorsque je fais du ftp en console. Mais si je passe par
firefox ou un autre navigateur, j'ai une erreur 425 :-(.
Si je coupe le firewall ca passe nickel.
Je pense qu'il faut ouvrir encore un port, ou une de mes regles ne suffit
pas a firefox?
Bonsoir,<br><br>J'ai un petit soucis avec iptable pour authoriser les c=
onnection ftp.<br><br>j'ai ces regles ci pour laisser passer les flux f=
tp:<br><br>#On accepte les connections sortantes sur le port 20 et 21 FTP
<br> iptables -A INPUT -i $INTERFACE --protocol tcp --sou=
rce-port 20 -m state --state ESTABLISHED,RELATED -j ACCEPT<br> &=
nbsp; iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m st=
ate --state ESTABLISHED -j ACCEPT
<br><br> iptables -A OUTPUT -o $INTERFACE --protocol tcp =
--destination-port 20 -m state --state ESTABLISHED -j ACCEPT<br>  =
; iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port =
21 -m state --state NEW,ESTABLISHED -j ACCEPT
<br><br>ca marche nickel lorsque je fais du ftp en console. Mais si je pass=
e par firefox ou un autre navigateur, j'ai une erreur 425 :-(.<br>Si je=
coupe le firewall ca passe nickel.<br><br>Je pense qu'il faut ouvrir e=
ncore un port, ou une de mes regles ne suffit pas a firefox?
<br><br>Avez vous une id=E9e?<br><br>Merci<br><br><br>
------=_Part_6456_18479654.1171567077685--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
deb ian a écrit :
J'ai un petit soucis avec iptable pour authoriser les connection ftp.
Note : en français autoriser s'écrit sans h.
j'ai ces regles ci pour laisser passer les flux ftp:
#On accepte les connections sortantes sur le port 20 et 21 FTP iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
ca marche nickel lorsque je fais du ftp en console. Mais si je passe par firefox ou un autre navigateur, j'ai une erreur 425 :-(.
Ces règles n'autorisent que les transferts en mode actif. Or la plupart des navigateurs utilisent le mode passif parce que généralement il passe mieux à travers les firewalls côté client (du moins ceux qui laissent passer toutes les connexions sortantes). J'ignore s'il est possible de paramétrer Firefox pour qu'il utilise le mode actif.
Si tu veux que ton firewall accepte le mode passif, tu fais comme tout le monde : tu fais confiance au suivi de connexion en acceptant ce qui est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports source et destination, et tu limites les vérifications à ce qui est NEW. Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est que le paquet NEW correspondant a été accepté (ou rejeté, et que le paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce rejet et doit donc être accepté).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
deb ian a écrit :
J'ai un petit soucis avec iptable pour authoriser les connection ftp.
Note : en français autoriser s'écrit sans h.
j'ai ces regles ci pour laisser passer les flux ftp:
#On accepte les connections sortantes sur le port 20 et 21 FTP
iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m state
--state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m state
--state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20 -m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21 -m
state --state NEW,ESTABLISHED -j ACCEPT
ca marche nickel lorsque je fais du ftp en console. Mais si je passe par
firefox ou un autre navigateur, j'ai une erreur 425 :-(.
Ces règles n'autorisent que les transferts en mode actif. Or la plupart
des navigateurs utilisent le mode passif parce que généralement il passe
mieux à travers les firewalls côté client (du moins ceux qui laissent
passer toutes les connexions sortantes). J'ignore s'il est possible de
paramétrer Firefox pour qu'il utilise le mode actif.
Si tu veux que ton firewall accepte le mode passif, tu fais comme tout
le monde : tu fais confiance au suivi de connexion en acceptant ce qui
est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports
source et destination, et tu limites les vérifications à ce qui est NEW.
Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est
que le paquet NEW correspondant a été accepté (ou rejeté, et que le
paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce
rejet et doit donc être accepté).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai un petit soucis avec iptable pour authoriser les connection ftp.
Note : en français autoriser s'écrit sans h.
j'ai ces regles ci pour laisser passer les flux ftp:
#On accepte les connections sortantes sur le port 20 et 21 FTP iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
ca marche nickel lorsque je fais du ftp en console. Mais si je passe par firefox ou un autre navigateur, j'ai une erreur 425 :-(.
Ces règles n'autorisent que les transferts en mode actif. Or la plupart des navigateurs utilisent le mode passif parce que généralement il passe mieux à travers les firewalls côté client (du moins ceux qui laissent passer toutes les connexions sortantes). J'ignore s'il est possible de paramétrer Firefox pour qu'il utilise le mode actif.
Si tu veux que ton firewall accepte le mode passif, tu fais comme tout le monde : tu fais confiance au suivi de connexion en acceptant ce qui est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports source et destination, et tu limites les vérifications à ce qui est NEW. Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est que le paquet NEW correspondant a été accepté (ou rejeté, et que le paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce rejet et doit donc être accepté).
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Michel Grentzinger
Le jeudi 15 février 2007 20:36, Pascal Hambourg a écrit :
Ces règles n'autorisent que les transferts en mode actif. Or la plupart des navigateurs utilisent le mode passif parce que généralement il pa sse mieux à travers les firewalls côté client (du moins ceux qui laisse nt passer toutes les connexions sortantes). J'ignore s'il est possible de paramétrer Firefox pour qu'il utilise le mode actif.
Si tu veux que ton firewall accepte le mode passif, tu fais comme tout le monde : tu fais confiance au suivi de connexion en acceptant ce qui est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports source et destination, et tu limites les vérifications à ce qui est N EW. Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est que le paquet NEW correspondant a été accepté (ou rejeté, et que le paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce rejet et doit donc être accepté).
Petite variante pour l'état ESTABLISHED : http://lists.debian.org/debian-user-french/2002/06/msg01183.html
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Le jeudi 15 février 2007 20:36, Pascal Hambourg a écrit :
Ces règles n'autorisent que les transferts en mode actif. Or la plupart
des navigateurs utilisent le mode passif parce que généralement il pa sse
mieux à travers les firewalls côté client (du moins ceux qui laisse nt
passer toutes les connexions sortantes). J'ignore s'il est possible de
paramétrer Firefox pour qu'il utilise le mode actif.
Si tu veux que ton firewall accepte le mode passif, tu fais comme tout
le monde : tu fais confiance au suivi de connexion en acceptant ce qui
est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports
source et destination, et tu limites les vérifications à ce qui est N EW.
Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est
que le paquet NEW correspondant a été accepté (ou rejeté, et que le
paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce
rejet et doit donc être accepté).
Petite variante pour l'état ESTABLISHED :
http://lists.debian.org/debian-user-french/2002/06/msg01183.html
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
Le jeudi 15 février 2007 20:36, Pascal Hambourg a écrit :
Ces règles n'autorisent que les transferts en mode actif. Or la plupart des navigateurs utilisent le mode passif parce que généralement il pa sse mieux à travers les firewalls côté client (du moins ceux qui laisse nt passer toutes les connexions sortantes). J'ignore s'il est possible de paramétrer Firefox pour qu'il utilise le mode actif.
Si tu veux que ton firewall accepte le mode passif, tu fais comme tout le monde : tu fais confiance au suivi de connexion en acceptant ce qui est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports source et destination, et tu limites les vérifications à ce qui est N EW. Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est que le paquet NEW correspondant a été accepté (ou rejeté, et que le paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce rejet et doit donc être accepté).
Petite variante pour l'état ESTABLISHED : http://lists.debian.org/debian-user-french/2002/06/msg01183.html
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
J'ai un petit soucis avec iptable pour authoriser les connection ftp.
j'ai ces regles ci pour laisser passer les flux ftp:
#On accepte les connections sortantes sur le port 20 et 21 FTP iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
ca marche nickel lorsque je fais du ftp en console. Mais si je passe par firefox ou un autre navigateur, j'ai une erreur 425 :-(. Si je coupe le firewall ca passe nickel.
Je pense qu'il faut ouvrir encore un port, ou une de mes regles ne suffit pas a firefox?
Il te manque le FTP passif me semble-t-il. J'ai ceci en plus : $IPTABLES -N ftp_passif $IPTABLES -A ftp_passif -o $IF_OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A ftp_passif -i $IF_INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -j ftp_passif $IPTABLES -A FORWARD -j ftp_passif $IPTABLES -A OUTPUT -j ftp_passif
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
J'ai un petit soucis avec iptable pour authoriser les connection ftp.
j'ai ces regles ci pour laisser passer les flux ftp:
#On accepte les connections sortantes sur le port 20 et 21 FTP
iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m
state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20
-m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21
-m state --state NEW,ESTABLISHED -j ACCEPT
ca marche nickel lorsque je fais du ftp en console. Mais si je passe par
firefox ou un autre navigateur, j'ai une erreur 425 :-(.
Si je coupe le firewall ca passe nickel.
Je pense qu'il faut ouvrir encore un port, ou une de mes regles ne suffit
pas a firefox?
Il te manque le FTP passif me semble-t-il.
J'ai ceci en plus :
$IPTABLES -N ftp_passif
$IPTABLES -A ftp_passif -o $IF_OUTPUT -p tcp --sport 1024: --dport 1024: -m
state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A ftp_passif -i $IF_INPUT -p tcp --sport 1024: --dport 1024: -m
state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -j ftp_passif
$IPTABLES -A FORWARD -j ftp_passif
$IPTABLES -A OUTPUT -j ftp_passif
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
J'ai un petit soucis avec iptable pour authoriser les connection ftp.
j'ai ces regles ci pour laisser passer les flux ftp:
#On accepte les connections sortantes sur le port 20 et 21 FTP iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
ca marche nickel lorsque je fais du ftp en console. Mais si je passe par firefox ou un autre navigateur, j'ai une erreur 425 :-(. Si je coupe le firewall ca passe nickel.
Je pense qu'il faut ouvrir encore un port, ou une de mes regles ne suffit pas a firefox?
Il te manque le FTP passif me semble-t-il. J'ai ceci en plus : $IPTABLES -N ftp_passif $IPTABLES -A ftp_passif -o $IF_OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A ftp_passif -i $IF_INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -j ftp_passif $IPTABLES -A FORWARD -j ftp_passif $IPTABLES -A OUTPUT -j ftp_passif
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Pascal Hambourg
Michel Grentzinger a écrit :
Petite variante pour l'état ESTABLISHED : http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Michel Grentzinger a écrit :
Petite variante pour l'état ESTABLISHED :
http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Petite variante pour l'état ESTABLISHED : http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Michel Grentzinger
Le jeudi 15 février 2007 22:17, Pascal Hambourg a écrit :
Michel Grentzinger a écrit : > Petite variante pour l'état ESTABLISHED : > http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
Pas besoin de NEW pour l'état RELATED en ftp.
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Le jeudi 15 février 2007 22:17, Pascal Hambourg a écrit :
Michel Grentzinger a écrit :
> Petite variante pour l'état ESTABLISHED :
> http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
Pas besoin de NEW pour l'état RELATED en ftp.
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
Le jeudi 15 février 2007 22:17, Pascal Hambourg a écrit :
Michel Grentzinger a écrit : > Petite variante pour l'état ESTABLISHED : > http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
Pas besoin de NEW pour l'état RELATED en ftp.
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Pascal Hambourg
Michel Grentzinger a écrit :
Petite variante pour l'état ESTABLISHED : http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
Pas besoin de NEW pour l'état RELATED en ftp.
Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il n'a pas fallu l'accepter ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Michel Grentzinger a écrit :
Petite variante pour l'état ESTABLISHED :
http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
Pas besoin de NEW pour l'état RELATED en ftp.
Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
n'a pas fallu l'accepter ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Petite variante pour l'état ESTABLISHED : http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
Pas besoin de NEW pour l'état RELATED en ftp.
Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il n'a pas fallu l'accepter ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Michel Grentzinger
Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
Michel Grentzinger a écrit : >>>Petite variante pour l'état ESTABLISHED : >>>http://lists.debian.org/debian-user-french/2002/06/msg01183.html >> >>Quelle variante ? Par rapport à quoi ? > > Pas besoin de NEW pour l'état RELATED en ftp.
Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 2 1, il n'a pas fallu l'accepter ?
Je ne suis pas un expert en filtrage de paquet mais je m'étais penché s ur la question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu s ur fr.comp.securite : == CITATION =================== =========================
Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne peut avoir l'etat ESTABLISHED que si une connexion est deja active.
Dans notre cas, le paquet qui ouvre cette connexion part du client et a l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour cela que la regle en -i ppp0 ne porte que les ESTABLISHED.
Comment est ouvert une connexion en FTP passif ? Apparement, il n'y a pas de paquet marqué NEW dans ce cas...si ?
C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation qui sert a l'etablissement de la connexion de donnees. Quand il la repere, il en lit les parametres et prepare un etat pour la prendre en charge. Des lors, le paquet d'initiation de cette connexion ne sera pas NEW, mais RELATED, parce que correspondant a un etat attendu.
== FIN DE CITATION ================ ========================
L'échange complet est ici : http://groups.google.fr/group/fr.comp.securite/browse_thread/thread/45bb81b 2cc2372ef?hl=fr
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
Michel Grentzinger a écrit :
>>>Petite variante pour l'état ESTABLISHED :
>>>http://lists.debian.org/debian-user-french/2002/06/msg01183.html
>>
>>Quelle variante ? Par rapport à quoi ?
>
> Pas besoin de NEW pour l'état RELATED en ftp.
Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 2 1, il
n'a pas fallu l'accepter ?
Je ne suis pas un expert en filtrage de paquet mais je m'étais penché s ur la
question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu s ur
fr.comp.securite :
== CITATION =================== =========================
Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion
attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne
peut avoir l'etat ESTABLISHED que si une connexion est deja active.
Dans notre cas, le paquet qui ouvre cette connexion part du client et a
l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour
cela que la regle en -i ppp0 ne porte que les ESTABLISHED.
Comment est ouvert une connexion en FTP passif ? Apparement, il
n'y a pas de paquet marqué NEW dans ce cas...si ?
C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation
qui sert a l'etablissement de la connexion de donnees. Quand il la
repere, il en lit les parametres et prepare un etat pour la prendre en
charge. Des lors, le paquet d'initiation de cette connexion ne sera pas
NEW, mais RELATED, parce que correspondant a un etat attendu.
== FIN DE CITATION ================ ========================
L'échange complet est ici :
http://groups.google.fr/group/fr.comp.securite/browse_thread/thread/45bb81b 2cc2372ef?hl=fr
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
Michel Grentzinger a écrit : >>>Petite variante pour l'état ESTABLISHED : >>>http://lists.debian.org/debian-user-french/2002/06/msg01183.html >> >>Quelle variante ? Par rapport à quoi ? > > Pas besoin de NEW pour l'état RELATED en ftp.
Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 2 1, il n'a pas fallu l'accepter ?
Je ne suis pas un expert en filtrage de paquet mais je m'étais penché s ur la question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu s ur fr.comp.securite : == CITATION =================== =========================
Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne peut avoir l'etat ESTABLISHED que si une connexion est deja active.
Dans notre cas, le paquet qui ouvre cette connexion part du client et a l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour cela que la regle en -i ppp0 ne porte que les ESTABLISHED.
Comment est ouvert une connexion en FTP passif ? Apparement, il n'y a pas de paquet marqué NEW dans ce cas...si ?
C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation qui sert a l'etablissement de la connexion de donnees. Quand il la repere, il en lit les parametres et prepare un etat pour la prendre en charge. Des lors, le paquet d'initiation de cette connexion ne sera pas NEW, mais RELATED, parce que correspondant a un etat attendu.
== FIN DE CITATION ================ ========================
L'échange complet est ici : http://groups.google.fr/group/fr.comp.securite/browse_thread/thread/45bb81b 2cc2372ef?hl=fr
-- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
Franck Joncourt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Michel Grentzinger wrote:
Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
Michel Grentzinger a écrit :
Petite variante pour l'état ESTABLISHED : http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
Pas besoin de NEW pour l'état RELATED en ftp.
Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il n'a pas fallu l'accepter ?
Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur fr.comp.securite : == CITATION =========================================== > Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne peut avoir l'etat ESTABLISHED que si une connexion est deja active.
Dans notre cas, le paquet qui ouvre cette connexion part du client et a l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour cela que la regle en -i ppp0 ne porte que les ESTABLISHED.
Comment est ouvert une connexion en FTP passif ? Apparement, il n'y a pas de paquet marqué NEW dans ce cas...si ?
C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation qui sert a l'etablissement de la connexion de donnees. Quand il la repere, il en lit les parametres et prepare un etat pour la prendre en charge. Des lors, le paquet d'initiation de cette connexion ne sera pas NEW, mais RELATED, parce que correspondant a un etat attendu.
== FIN DE CITATION ======================================= > L'échange complet est ici : http://groups.google.fr/group/fr.comp.securite/browse_thread/thread/45bb81b2cc2372ef?hl=fr
Pour moi, comme je le mentionnais, il est mis en avant que la connexion sur le data channel ne genere pas d'etat NEW, mais un etat RELATED qui est lie a la connexion sur le port 21 en ESTABLISHED. Quant aux connexions sur le port 21 la premiere est dans l'etat NEW, et toutes les autres dans l'etat ESTABLISHED.
Je ne vois rien d'etrange dans le comportement.
- -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
___________________________________________________________ To help you stay safe and secure online, we've developed the all new Yahoo! Security Centre. http://uk.security.yahoo.com
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Michel Grentzinger wrote:
Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
Michel Grentzinger a écrit :
Petite variante pour l'état ESTABLISHED :
http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
Pas besoin de NEW pour l'état RELATED en ftp.
Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
n'a pas fallu l'accepter ?
Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la
question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur
fr.comp.securite :
== CITATION =========================================== >
Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion
attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne
peut avoir l'etat ESTABLISHED que si une connexion est deja active.
Dans notre cas, le paquet qui ouvre cette connexion part du client et a
l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour
cela que la regle en -i ppp0 ne porte que les ESTABLISHED.
Comment est ouvert une connexion en FTP passif ? Apparement, il
n'y a pas de paquet marqué NEW dans ce cas...si ?
C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation
qui sert a l'etablissement de la connexion de donnees. Quand il la
repere, il en lit les parametres et prepare un etat pour la prendre en
charge. Des lors, le paquet d'initiation de cette connexion ne sera pas
NEW, mais RELATED, parce que correspondant a un etat attendu.
== FIN DE CITATION ======================================= >
L'échange complet est ici :
http://groups.google.fr/group/fr.comp.securite/browse_thread/thread/45bb81b2cc2372ef?hl=fr
Pour moi, comme je le mentionnais, il est mis en avant que la connexion
sur le data channel ne genere pas d'etat NEW, mais un etat RELATED qui
est lie a la connexion sur le port 21 en ESTABLISHED.
Quant aux connexions sur le port 21 la premiere est dans l'etat NEW, et
toutes les autres dans l'etat ESTABLISHED.
Je ne vois rien d'etrange dans le comportement.
- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
___________________________________________________________
To help you stay safe and secure online, we've developed the all new Yahoo! Security Centre. http://uk.security.yahoo.com
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
Michel Grentzinger a écrit :
Petite variante pour l'état ESTABLISHED : http://lists.debian.org/debian-user-french/2002/06/msg01183.html
Quelle variante ? Par rapport à quoi ?
Pas besoin de NEW pour l'état RELATED en ftp.
Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il n'a pas fallu l'accepter ?
Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur fr.comp.securite : == CITATION =========================================== > Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne peut avoir l'etat ESTABLISHED que si une connexion est deja active.
Dans notre cas, le paquet qui ouvre cette connexion part du client et a l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour cela que la regle en -i ppp0 ne porte que les ESTABLISHED.
Comment est ouvert une connexion en FTP passif ? Apparement, il n'y a pas de paquet marqué NEW dans ce cas...si ?
C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation qui sert a l'etablissement de la connexion de donnees. Quand il la repere, il en lit les parametres et prepare un etat pour la prendre en charge. Des lors, le paquet d'initiation de cette connexion ne sera pas NEW, mais RELATED, parce que correspondant a un etat attendu.
== FIN DE CITATION ======================================= > L'échange complet est ici : http://groups.google.fr/group/fr.comp.securite/browse_thread/thread/45bb81b2cc2372ef?hl=fr
Pour moi, comme je le mentionnais, il est mis en avant que la connexion sur le data channel ne genere pas d'etat NEW, mais un etat RELATED qui est lie a la connexion sur le port 21 en ESTABLISHED. Quant aux connexions sur le port 21 la premiere est dans l'etat NEW, et toutes les autres dans l'etat ESTABLISHED.
Je ne vois rien d'etrange dans le comportement.
- -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
___________________________________________________________ To help you stay safe and secure online, we've developed the all new Yahoo! Security Centre. http://uk.security.yahoo.com
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
