J'ai un microréseau derrière un parefeu basé sur iptables.
ftp d'une machine protégée se connecte bien sur le serveur,
execute bien de commandes "cd ..." mais ne transfert pas ni ne liste
pas des contenus des répértoires "ls" en s'excusant :
500 Illegal PORT command
ftp: bind: Address already in use
ftp version 0.17-9 orginaire de debian 3.0
les directives iptables :
iptables -P FORWARD DROP
...
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j
ACCEPT
...
iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j
ACCEPT
iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j
ACCEPT
...
iptables -A FORWARD -j LOG --log-prefix "drop forward : "
Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part),
qui reste unused. ip_forward est bien à 1.
iptables est v1.2.6a
accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il
ne change rien.
Dans l'échange des trames sur le parefeu on ne voie que la connexion
initiale
avec la porte 21 du serveur qui vehicule les commandes et aucune trace
de la connexion qui doit se faire pour le transfert.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
RedLums
Salut !
Pour cela tu dois charger le module ip_nat_ftp sur ton serveur. modprobe ip_nat_ftp et.. hop :-)
"Jacek" a écrit dans le message de news:
Bonjour,
J'ai un microréseau derrière un parefeu basé sur iptables.
ftp d'une machine protégée se connecte bien sur le serveur, execute bien de commandes "cd ..." mais ne transfert pas ni ne liste pas des contenus des répértoires "ls" en s'excusant :
500 Illegal PORT command ftp: bind: Address already in use
ftp version 0.17-9 orginaire de debian 3.0
les directives iptables :
iptables -P FORWARD DROP ... iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ... iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j ACCEPT iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j ACCEPT ... iptables -A FORWARD -j LOG --log-prefix "drop forward : "
Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part), qui reste unused. ip_forward est bien à 1.
iptables est v1.2.6a
accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il ne change rien.
Dans l'échange des trames sur le parefeu on ne voie que la connexion initiale avec la porte 21 du serveur qui vehicule les commandes et aucune trace de la connexion qui doit se faire pour le transfert.
Pouvez-vous m'expliquer pourquoi ?
Merci & a+
Salut !
Pour cela tu dois charger le module ip_nat_ftp sur ton serveur.
modprobe ip_nat_ftp et.. hop :-)
"Jacek" <jacek_lempicki@yahoo.fr> a écrit dans le message de
news:1dee9dd9.0502230842.5d21ea35@posting.google.com...
Bonjour,
J'ai un microréseau derrière un parefeu basé sur iptables.
ftp d'une machine protégée se connecte bien sur le serveur,
execute bien de commandes "cd ..." mais ne transfert pas ni ne liste
pas des contenus des répértoires "ls" en s'excusant :
500 Illegal PORT command
ftp: bind: Address already in use
ftp version 0.17-9 orginaire de debian 3.0
les directives iptables :
iptables -P FORWARD DROP
...
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j
ACCEPT
...
iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j
ACCEPT
iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j
ACCEPT
...
iptables -A FORWARD -j LOG --log-prefix "drop forward : "
Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part),
qui reste unused. ip_forward est bien à 1.
iptables est v1.2.6a
accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il
ne change rien.
Dans l'échange des trames sur le parefeu on ne voie que la connexion
initiale
avec la porte 21 du serveur qui vehicule les commandes et aucune trace
de la connexion qui doit se faire pour le transfert.
Pour cela tu dois charger le module ip_nat_ftp sur ton serveur. modprobe ip_nat_ftp et.. hop :-)
"Jacek" a écrit dans le message de news:
Bonjour,
J'ai un microréseau derrière un parefeu basé sur iptables.
ftp d'une machine protégée se connecte bien sur le serveur, execute bien de commandes "cd ..." mais ne transfert pas ni ne liste pas des contenus des répértoires "ls" en s'excusant :
500 Illegal PORT command ftp: bind: Address already in use
ftp version 0.17-9 orginaire de debian 3.0
les directives iptables :
iptables -P FORWARD DROP ... iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ... iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j ACCEPT iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j ACCEPT ... iptables -A FORWARD -j LOG --log-prefix "drop forward : "
Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part), qui reste unused. ip_forward est bien à 1.
iptables est v1.2.6a
accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il ne change rien.
Dans l'échange des trames sur le parefeu on ne voie que la connexion initiale avec la porte 21 du serveur qui vehicule les commandes et aucune trace de la connexion qui doit se faire pour le transfert.
Pouvez-vous m'expliquer pourquoi ?
Merci & a+
TiChou
Dans le message <news:, *Jacek* tapota sur f.c.o.l.configuration :
Bonjour,
Bonsoir,
ftp d'une machine protégée se connecte bien sur le serveur, execute bien de commandes "cd ..." mais ne transfert pas ni ne liste pas des contenus des répértoires "ls" en s'excusant :
500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une erreur. Il aurait été logique alors de nous rapporter quelle commande PORT a été envoyée... Il faudrait aussi nous dire si vous utilisez le mode actif ou passif car il peut s'agir d'un bug au niveau du client ftp.
ftp: bind: Address already in use
L'erreur indique que le client veut écouter sur une adresse et un port déjà en écoute.
ftp version 0.17-9 orginaire de debian 3.0
Vous pouvez rajouter l'option '-v' à la commande 'ftp' ou l'option verbose dans la ligne de commande de ftp pour rendre plus bavard les échanges ftp.
Et sinon avec un autre client ftp, même problème ? Par exemple wget, lynx, etc qui sont générallement présents sur les distributions.
les directives iptables :
iptables -P FORWARD DROP ... iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ... iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j ACCEPT
Inutile. Le module ip_nat_ftp et votre précédente règle se chargent d'autoriser ou non à forwarder les connexions ftp-data.
iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j ACCEPT ... iptables -A FORWARD -j LOG --log-prefix "drop forward : "
Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part), qui reste unused. ip_forward est bien à 1.
iptables est v1.2.6a
accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il ne change rien.
J'ai expliqué pourquoi.
Pouvez-vous m'expliquer pourquoi ?
Oui, si vous nous dites dans quel mode vous vous connectez, si le problème se présente sur tous les serveurs ftp, etc.
Merci & a+
Pas de quoi.
-- TiChou
Dans le message <news:1dee9dd9.0502230842.5d21ea35@posting.google.com>,
*Jacek* tapota sur f.c.o.l.configuration :
Bonjour,
Bonsoir,
ftp d'une machine protégée se connecte bien sur le serveur,
execute bien de commandes "cd ..." mais ne transfert pas ni ne liste
pas des contenus des répértoires "ls" en s'excusant :
500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une erreur.
Il aurait été logique alors de nous rapporter quelle commande PORT a été
envoyée... Il faudrait aussi nous dire si vous utilisez le mode actif ou
passif car il peut s'agir d'un bug au niveau du client ftp.
ftp: bind: Address already in use
L'erreur indique que le client veut écouter sur une adresse et un port déjà
en écoute.
ftp version 0.17-9 orginaire de debian 3.0
Vous pouvez rajouter l'option '-v' à la commande 'ftp' ou l'option verbose
dans la ligne de commande de ftp pour rendre plus bavard les échanges ftp.
Et sinon avec un autre client ftp, même problème ? Par exemple wget, lynx,
etc qui sont générallement présents sur les distributions.
les directives iptables :
iptables -P FORWARD DROP
...
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j
ACCEPT
...
iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j
ACCEPT
Inutile. Le module ip_nat_ftp et votre précédente règle se chargent
d'autoriser ou non à forwarder les connexions ftp-data.
iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j
ACCEPT
...
iptables -A FORWARD -j LOG --log-prefix "drop forward : "
Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part),
qui reste unused. ip_forward est bien à 1.
iptables est v1.2.6a
accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il
ne change rien.
J'ai expliqué pourquoi.
Pouvez-vous m'expliquer pourquoi ?
Oui, si vous nous dites dans quel mode vous vous connectez, si le problème
se présente sur tous les serveurs ftp, etc.
Dans le message <news:, *Jacek* tapota sur f.c.o.l.configuration :
Bonjour,
Bonsoir,
ftp d'une machine protégée se connecte bien sur le serveur, execute bien de commandes "cd ..." mais ne transfert pas ni ne liste pas des contenus des répértoires "ls" en s'excusant :
500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une erreur. Il aurait été logique alors de nous rapporter quelle commande PORT a été envoyée... Il faudrait aussi nous dire si vous utilisez le mode actif ou passif car il peut s'agir d'un bug au niveau du client ftp.
ftp: bind: Address already in use
L'erreur indique que le client veut écouter sur une adresse et un port déjà en écoute.
ftp version 0.17-9 orginaire de debian 3.0
Vous pouvez rajouter l'option '-v' à la commande 'ftp' ou l'option verbose dans la ligne de commande de ftp pour rendre plus bavard les échanges ftp.
Et sinon avec un autre client ftp, même problème ? Par exemple wget, lynx, etc qui sont générallement présents sur les distributions.
les directives iptables :
iptables -P FORWARD DROP ... iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ... iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j ACCEPT
Inutile. Le module ip_nat_ftp et votre précédente règle se chargent d'autoriser ou non à forwarder les connexions ftp-data.
iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j ACCEPT ... iptables -A FORWARD -j LOG --log-prefix "drop forward : "
Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part), qui reste unused. ip_forward est bien à 1.
iptables est v1.2.6a
accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il ne change rien.
J'ai expliqué pourquoi.
Pouvez-vous m'expliquer pourquoi ?
Oui, si vous nous dites dans quel mode vous vous connectez, si le problème se présente sur tous les serveurs ftp, etc.
Merci & a+
Pas de quoi.
-- TiChou
Pascal
Salut,
500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une erreur. Il aurait été logique alors de nous rapporter quelle commande PORT a été envoyée... Il faudrait aussi nous dire si vous utilisez le mode actif ou passif car il peut s'agir d'un bug au niveau du client ftp.
La commande PORT implique le mode actif, non ? En mode passif c'est PASV qui est envoyé à la place.
-- Pascal Vous pouvez me tutoyer. Piège à spam :
Salut,
500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une
erreur. Il aurait été logique alors de nous rapporter quelle commande
PORT a été envoyée... Il faudrait aussi nous dire si vous utilisez le
mode actif ou passif car il peut s'agir d'un bug au niveau du client ftp.
La commande PORT implique le mode actif, non ? En mode passif c'est PASV
qui est envoyé à la place.
--
Pascal
Vous pouvez me tutoyer.
Piège à spam : boite-a-spam@plouf.fr.eu.org
Comme vous le voyez et l'avez compris, la commande PORT provoque une erreur. Il aurait été logique alors de nous rapporter quelle commande PORT a été envoyée... Il faudrait aussi nous dire si vous utilisez le mode actif ou passif car il peut s'agir d'un bug au niveau du client ftp.
La commande PORT implique le mode actif, non ? En mode passif c'est PASV qui est envoyé à la place.
-- Pascal Vous pouvez me tutoyer. Piège à spam :
TiChou
Dans le message <news:cvj251$bsq$, ** tapota sur f.c.o.l.configuration :
500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une erreur. Il aurait été logique alors de nous rapporter quelle commande PORT a été envoyée... Il faudrait aussi nous dire si vous utilisez le mode actif ou passif car il peut s'agir d'un bug au niveau du client ftp.
La commande PORT implique le mode actif, non ?
Tout à fait.
En mode passif c'est PASV qui est envoyé à la place.
Oui.
Le message retourné par le serveur me faisait penser que le client aurait pu envoyer envoyé une commande PORT après avoir déjà envoyé une commande PASV. Mais en y réfléchissant, il s'agit sûrement et seulement d'un problème d'envoi de commande PORT avec des paramètres erronés. Malheureusement le posteur qui a initié le fil, n'a pas répondu à ma question concernant la commande PORT envoyée et en plus il a répondu dans un nouveau fil, bref, je n'ai pas trop le temps et l'envie de poursuivre la discussion.
-- TiChou
Dans le message <news:cvj251$bsq$1@biggoron.nerim.net>,
*Pascal@plouf* tapota sur f.c.o.l.configuration :
500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une
erreur. Il aurait été logique alors de nous rapporter quelle commande
PORT a été envoyée... Il faudrait aussi nous dire si vous utilisez le
mode actif ou passif car il peut s'agir d'un bug au niveau du client
ftp.
La commande PORT implique le mode actif, non ?
Tout à fait.
En mode passif c'est PASV qui est envoyé à la place.
Oui.
Le message retourné par le serveur me faisait penser que le client aurait pu
envoyer envoyé une commande PORT après avoir déjà envoyé une commande PASV.
Mais en y réfléchissant, il s'agit sûrement et seulement d'un problème
d'envoi de commande PORT avec des paramètres erronés.
Malheureusement le posteur qui a initié le fil, n'a pas répondu à ma
question concernant la commande PORT envoyée et en plus il a répondu dans un
nouveau fil, bref, je n'ai pas trop le temps et l'envie de poursuivre la
discussion.
Dans le message <news:cvj251$bsq$, ** tapota sur f.c.o.l.configuration :
500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une erreur. Il aurait été logique alors de nous rapporter quelle commande PORT a été envoyée... Il faudrait aussi nous dire si vous utilisez le mode actif ou passif car il peut s'agir d'un bug au niveau du client ftp.
La commande PORT implique le mode actif, non ?
Tout à fait.
En mode passif c'est PASV qui est envoyé à la place.
Oui.
Le message retourné par le serveur me faisait penser que le client aurait pu envoyer envoyé une commande PORT après avoir déjà envoyé une commande PASV. Mais en y réfléchissant, il s'agit sûrement et seulement d'un problème d'envoi de commande PORT avec des paramètres erronés. Malheureusement le posteur qui a initié le fil, n'a pas répondu à ma question concernant la commande PORT envoyée et en plus il a répondu dans un nouveau fil, bref, je n'ai pas trop le temps et l'envie de poursuivre la discussion.
-- TiChou
jacek_lempicki
"TiChou" wrote in message news:...
Dans le message <news:cvj251$bsq$, ** tapota sur f.c.o.l.configuration :
500 Illegal PORT command
...
Malheureusement le posteur qui a initié le fil, n'a pas répondu à ma question concernant la commande PORT envoyée et en plus il a répondu dans un nouveau fil, bref, je n'ai pas trop le temps et l'envie de poursuivre la discussion.
Je m'excuse pour le fil, mais comme le nouveau réflète mieux la discussion je ne continue plus ici.
Jacek
"TiChou" <gro.uohcit@uohcit> wrote in message news:<gniii.20050224000818@florizarre.tichou.org>...
Dans le message <news:cvj251$bsq$1@biggoron.nerim.net>,
*Pascal@plouf* tapota sur f.c.o.l.configuration :
500 Illegal PORT command
...
Malheureusement le posteur qui a initié le fil, n'a pas répondu à ma
question concernant la commande PORT envoyée et en plus il a répondu dans un
nouveau fil, bref, je n'ai pas trop le temps et l'envie de poursuivre la
discussion.
Je m'excuse pour le fil, mais comme le nouveau réflète mieux la
discussion je ne continue plus ici.
Dans le message <news:cvj251$bsq$, ** tapota sur f.c.o.l.configuration :
500 Illegal PORT command
...
Malheureusement le posteur qui a initié le fil, n'a pas répondu à ma question concernant la commande PORT envoyée et en plus il a répondu dans un nouveau fil, bref, je n'ai pas trop le temps et l'envie de poursuivre la discussion.
Je m'excuse pour le fil, mais comme le nouveau réflète mieux la discussion je ne continue plus ici.
