je mets à jour une distribution debian qui est en DMZ avec apt.
L'accès de cette machine à internet se fait via un firewall/NAT
iptables.
Lorsque je fais sur cette machine un "ftp ftp.lip6.fr" tout se passe
bien et je peux me connecter au ftp et up/downloader des fichiers.
MAIS lorsque j'exécute "apt-get update" pour mettre à jour la liste
des packages de ma distrib, alors rien ne va plus quand le lien est du
FTP.
Voici les règles iptables du firewall pour le ftp depuis la DMZ:
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicolas GIMMILLARO
Var Log wrote:
bonjour,
je mets à jour une distribution debian qui est en DMZ avec apt. L'accès de cette machine à internet se fait via un firewall/NAT iptables.
Lorsque je fais sur cette machine un "ftp ftp.lip6.fr" tout se passe bien et je peux me connecter au ftp et up/downloader des fichiers. MAIS lorsque j'exécute "apt-get update" pour mettre à jour la liste des packages de ma distrib, alors rien ne va plus quand le lien est du FTP.
Voici les règles iptables du firewall pour le ftp depuis la DMZ:
$IPTABLES -A FORWARD -p tcp --sport 1024: -m mport --dports 20,21 -s $DMZNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 1024: -m mport --sports 20,21 -d $DMZNET -m state --state ESTABLISHED,RELATED -j ACCEPT
J'ai tenté de rajouter pour tester:
$IPTABLES -A FORWARD -p tcp --sport 1024: --dport 1024: -s $DMZNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Mais apt-get update refuse de fonctionner sur les pointeurs ftp....
Qualqu'un aurait-il une idée ????
Merci.
Il me semble que apt-get fonctionne en mode passif alors que certains clients ftp ligne de commande fonctionnent par défaut en mode actif
En mode passif les ports source et destination sont négociés à la demande. On ne peut donc pas etablir de régle facilement avec iptable. D'ou l'utilité de ip_conntrack_ftp (il est bien chargé sur ton système au fait ?)
Essai de faire un ftp sur ftp.lip6.fr en passant en mode passif (commande passive) avant de faire un get pour voir si ca marche encore.
Nicolas
Var Log wrote:
bonjour,
je mets à jour une distribution debian qui est en DMZ avec apt.
L'accès de cette machine à internet se fait via un firewall/NAT
iptables.
Lorsque je fais sur cette machine un "ftp ftp.lip6.fr" tout se passe
bien et je peux me connecter au ftp et up/downloader des fichiers.
MAIS lorsque j'exécute "apt-get update" pour mettre à jour la liste
des packages de ma distrib, alors rien ne va plus quand le lien est du
FTP.
Voici les règles iptables du firewall pour le ftp depuis la DMZ:
$IPTABLES -A FORWARD -p tcp --sport 1024: -m mport --dports 20,21 -s
$DMZNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 1024: -m mport --sports 20,21 -d
$DMZNET -m state --state ESTABLISHED,RELATED -j ACCEPT
J'ai tenté de rajouter pour tester:
$IPTABLES -A FORWARD -p tcp --sport 1024: --dport 1024: -s $DMZNET -m
state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Mais apt-get update refuse de fonctionner sur les pointeurs ftp....
Qualqu'un aurait-il une idée ????
Merci.
Il me semble que apt-get fonctionne en mode passif alors que certains
clients ftp ligne de commande fonctionnent par défaut en mode actif
En mode passif les ports source et destination sont négociés à la
demande. On ne peut donc pas etablir de régle facilement avec iptable.
D'ou l'utilité de ip_conntrack_ftp (il est bien chargé sur ton système
au fait ?)
Essai de faire un ftp sur ftp.lip6.fr en passant en mode passif
(commande passive) avant de faire un get pour voir si ca marche encore.
je mets à jour une distribution debian qui est en DMZ avec apt. L'accès de cette machine à internet se fait via un firewall/NAT iptables.
Lorsque je fais sur cette machine un "ftp ftp.lip6.fr" tout se passe bien et je peux me connecter au ftp et up/downloader des fichiers. MAIS lorsque j'exécute "apt-get update" pour mettre à jour la liste des packages de ma distrib, alors rien ne va plus quand le lien est du FTP.
Voici les règles iptables du firewall pour le ftp depuis la DMZ:
$IPTABLES -A FORWARD -p tcp --sport 1024: -m mport --dports 20,21 -s $DMZNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 1024: -m mport --sports 20,21 -d $DMZNET -m state --state ESTABLISHED,RELATED -j ACCEPT
J'ai tenté de rajouter pour tester:
$IPTABLES -A FORWARD -p tcp --sport 1024: --dport 1024: -s $DMZNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Mais apt-get update refuse de fonctionner sur les pointeurs ftp....
Qualqu'un aurait-il une idée ????
Merci.
Il me semble que apt-get fonctionne en mode passif alors que certains clients ftp ligne de commande fonctionnent par défaut en mode actif
En mode passif les ports source et destination sont négociés à la demande. On ne peut donc pas etablir de régle facilement avec iptable. D'ou l'utilité de ip_conntrack_ftp (il est bien chargé sur ton système au fait ?)
Essai de faire un ftp sur ftp.lip6.fr en passant en mode passif (commande passive) avant de faire un get pour voir si ca marche encore.
Nicolas
varlog2002
shaddai wrote in message news:...
On 05 Aug 2003 09:02:20 GMT, Nicolas GIMMILLARO wrote:
Il me semble que apt-get fonctionne en mode passif alors que certains clients ftp ligne de commande fonctionnent par défaut en mode actif
Il n'y a pas de paramètre par défaut, du moins, apt-config dump ne me renvoie rien sur ce sujet. Pour activer ou pas le mode passif, on doit modifier le paramètre passive dans la section Acquire du fichier de conf apt.conf. Après, comme le dit nicolas, on peut faire le test avec le client ftp pour voir si le problème vient bien du mode passif.
Je confirme la piste du mode actif/passif. En mode passif je ne passe aucune commande du type "ls" ou "dir". Je peux tout de même changer de répertoire.
De plus j'ai trouvé un thread "Re: FTP et firewall" du 2003-07-19 11:16:12 PST de "Cedric Blancher ()" qui indique:
En gros, si on veut si on veut faire du FTP tranquille, il faut autoriser
les connexions :
TCP sortant >1023 vers 21 pour le canal de données TCP entrant 20 vers >1023 pour le canal de données actif TCP sortant >1023 vers >1023 pour le canal de données passif.
Je vais tester.
@+ Merci
shaddai <shaddai@nerim.net> wrote in message news:<slrnbj29l0.3i9.shaddai@kavado.kardis.org>...
On 05 Aug 2003 09:02:20 GMT, Nicolas GIMMILLARO wrote:
Il me semble que apt-get fonctionne en mode passif alors que certains
clients ftp ligne de commande fonctionnent par défaut en mode actif
Il n'y a pas de paramètre par défaut, du moins, apt-config dump ne me
renvoie rien sur ce sujet. Pour activer ou pas le mode passif, on doit
modifier le paramètre passive dans la section Acquire du fichier de conf
apt.conf. Après, comme le dit nicolas, on peut faire le test avec le
client ftp pour voir si le problème vient bien du mode passif.
Je confirme la piste du mode actif/passif. En mode passif je ne passe
aucune commande du type "ls" ou "dir". Je peux tout de même changer de
répertoire.
De plus j'ai trouvé un thread "Re: FTP et firewall" du 2003-07-19
11:16:12 PST
de "Cedric Blancher (blancher@cartel-securite.fr)" qui indique:
En gros, si on veut si on veut faire du FTP tranquille, il faut
autoriser
les connexions :
TCP sortant >1023 vers 21 pour le canal de données
TCP entrant 20 vers >1023 pour le canal de données actif
TCP sortant >1023 vers >1023 pour le canal de données passif.
On 05 Aug 2003 09:02:20 GMT, Nicolas GIMMILLARO wrote:
Il me semble que apt-get fonctionne en mode passif alors que certains clients ftp ligne de commande fonctionnent par défaut en mode actif
Il n'y a pas de paramètre par défaut, du moins, apt-config dump ne me renvoie rien sur ce sujet. Pour activer ou pas le mode passif, on doit modifier le paramètre passive dans la section Acquire du fichier de conf apt.conf. Après, comme le dit nicolas, on peut faire le test avec le client ftp pour voir si le problème vient bien du mode passif.
Je confirme la piste du mode actif/passif. En mode passif je ne passe aucune commande du type "ls" ou "dir". Je peux tout de même changer de répertoire.
De plus j'ai trouvé un thread "Re: FTP et firewall" du 2003-07-19 11:16:12 PST de "Cedric Blancher ()" qui indique:
En gros, si on veut si on veut faire du FTP tranquille, il faut autoriser
les connexions :
TCP sortant >1023 vers 21 pour le canal de données TCP entrant 20 vers >1023 pour le canal de données actif TCP sortant >1023 vers >1023 pour le canal de données passif.
Je vais tester.
@+ Merci
Nicolas GIMMILLARO
Var Log wrote:
Je confirme la piste du mode actif/passif. En mode passif je ne passe aucune commande du type "ls" ou "dir". Je peux tout de même changer de répertoire.
Normal, le changement de répertoire ne fait intervenir que la connexion de controle ( >1024 -> 21 )
En gros, si on veut si on veut faire du FTP tranquille, il faut
autoriser
les connexions :
TCP sortant >1023 vers 21 pour le canal de données TCP entrant 20 vers >1023 pour le canal de données actif TCP sortant >1023 vers >1023 pour le canal de données passif.
Si des fois tu ne veux pas laisser un peu tout sortir (TCP >1023 vers
1023) tu peux aussi jouer avec les stat RELATED si le tracking des connexions est bien compilé (ou chargé si module) sur ton systeme.
Nicolas
Var Log wrote:
Je confirme la piste du mode actif/passif. En mode passif je ne passe
aucune commande du type "ls" ou "dir". Je peux tout de même changer de
répertoire.
Normal, le changement de répertoire ne fait intervenir que la connexion
de controle ( >1024 -> 21 )
En gros, si on veut si on veut faire du FTP tranquille, il faut
autoriser
les connexions :
TCP sortant >1023 vers 21 pour le canal de données
TCP entrant 20 vers >1023 pour le canal de données actif
TCP sortant >1023 vers >1023 pour le canal de données passif.
Si des fois tu ne veux pas laisser un peu tout sortir (TCP >1023 vers
1023) tu peux aussi jouer avec les stat RELATED si le tracking des
connexions est bien compilé (ou chargé si module) sur ton systeme.
Je confirme la piste du mode actif/passif. En mode passif je ne passe aucune commande du type "ls" ou "dir". Je peux tout de même changer de répertoire.
Normal, le changement de répertoire ne fait intervenir que la connexion de controle ( >1024 -> 21 )
En gros, si on veut si on veut faire du FTP tranquille, il faut
autoriser
les connexions :
TCP sortant >1023 vers 21 pour le canal de données TCP entrant 20 vers >1023 pour le canal de données actif TCP sortant >1023 vers >1023 pour le canal de données passif.
Si des fois tu ne veux pas laisser un peu tout sortir (TCP >1023 vers
1023) tu peux aussi jouer avec les stat RELATED si le tracking des connexions est bien compilé (ou chargé si module) sur ton systeme.
