Je resollicite Votre Bonté car visiblement le mécanisme ip_nat_ftp
ne marche pas chez moi comme ailleurs. Je l'installe bien sur le
parfeu
et il reste bien "unused"
Si ça de l'importance, je l'installe par "modprobe ip_nat_ftp" au
début de mon script avec des iptables's et en faisant "lsmod"
j'obtiens :
Module Size Used by Not tainted
ip_nat_ftp 2844 0 (unused)
...
iptable_nat 12660 2 (autoclean) [ip_nat_ftp]
...
J'ai viré la ligne "iptables ... --dport 20 ..." sans beacoup d'espoir
ni d'effet.
Jacek
----------------------------
Dans le message <news:1dee9dd9.0502230842.5d21ea35@posting.google.com>,
*Jacek* tapota sur f.c.o.l.configuration :
> Bonjour,
Bonsoir,
> ftp d'une machine protégée se connecte bien sur le serveur,
> execute bien de commandes "cd ..." mais ne transfert pas ni ne liste
> pas des contenus des répértoires "ls" en s'excusant :
> 500 Illegal PORT command
Comme vous le voyez et l'avez compris, la commande PORT provoque une
erreur. Il aurait été logique alors de nous rapporter quelle commande
PORT a été envoyée... Il faudrait aussi nous dire si vous utilisez le
mode actif ou passif car il peut s'agir d'un bug au niveau du client
ftp.
> ftp: bind: Address already in use
L'erreur indique que le client veut écouter sur une adresse et un port
déjà en écoute.
> ftp version 0.17-9 orginaire de debian 3.0
Vous pouvez rajouter l'option '-v' à la commande 'ftp' ou l'option
verbose dans la ligne de commande de ftp pour rendre plus bavard les
échanges ftp.
Et sinon avec un autre client ftp, même problème ? Par exemple wget,
lynx, etc qui sont générallement présents sur les distributions.
> les directives iptables :
> iptables -P FORWARD DROP
...
> iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j
> ACCEPT
...
> iptables -A FORWARD -i $HOME -p tcp --dport 20 -m state --state NEW -j
> ACCEPT
Inutile. Le module ip_nat_ftp et votre précédente règle se chargent
d'autoriser ou non à forwarder les connexions ftp-data.
> iptables -A FORWARD -i $HOME -p tcp --dport 21 -m state --state NEW -j
> ACCEPT
> ...
> iptables -A FORWARD -j LOG --log-prefix "drop forward : "
> Je charge bien le module "ip_nat_ftp" (j'ai vu ça quelque part),
> qui reste unused. ip_forward est bien à 1.
> iptables est v1.2.6a
> accept de la porte 20 n'est pas tellement d'usage (pourquoi ?) mais il
> ne change rien.
J'ai expliqué pourquoi.
> Pouvez-vous m'expliquer pourquoi ?
Oui, si vous nous dites dans quel mode vous vous connectez, si le
problème se présente sur tous les serveurs ftp, etc.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal
Salut,
Note : réponds plutôt dans le fil de discussion que tu as ouvert au lieu d'en commencer un autre. Sinon on ne s'y retrouve plus. (Quoi, ce serait Google qui supprime les références ? Mauvaise interface, changer interface)
Mode : je tape bonnement "ftp celui.la - c'est le mode active, enfin il me semble.
Ça dépend du client FTP. Le client de netkit-ftp (installé par défaut avec Woody) démarre en mode actif par défaut sauf si invoqué par "pftp". Par contre celui de lukemftp se lance en mode passif par défaut.
Et si tu essaies en mode passif (pftp pour lancer ftp en mode passif ou commande "passive" dans ftp pour basculer entre les modes actif et passif) ?
visiblement le mécanisme ip_nat_ftp ne marche pas chez moi comme ailleurs. Je l'installe bien sur le parfeu et il reste bien "unused"
Pareil ici et ça marche, donc ça doit être normal.
Si ça de l'importance, je l'installe par "modprobe ip_nat_ftp" au début de mon script avec des iptables's et en faisant "lsmod" j'obtiens :
Module Size Used by Not tainted ip_nat_ftp 2844 0 (unused) ... iptable_nat 12660 2 (autoclean) [ip_nat_ftp]
Il doit y avoir aussi ceux-là normalement :
ip_conntrack_ftp ip_tables ip_conntrack
-- Pascal Vous pouvez me tutoyer. Piège à spam :
Salut,
Note : réponds plutôt dans le fil de discussion que tu as ouvert au lieu
d'en commencer un autre. Sinon on ne s'y retrouve plus.
(Quoi, ce serait Google qui supprime les références ? Mauvaise
interface, changer interface)
Mode : je tape bonnement "ftp celui.la
- c'est le mode active, enfin il me semble.
Ça dépend du client FTP. Le client de netkit-ftp (installé par défaut
avec Woody) démarre en mode actif par défaut sauf si invoqué par "pftp".
Par contre celui de lukemftp se lance en mode passif par défaut.
Et si tu essaies en mode passif (pftp pour lancer ftp en mode passif ou
commande "passive" dans ftp pour basculer entre les modes actif et passif) ?
Note : réponds plutôt dans le fil de discussion que tu as ouvert au lieu d'en commencer un autre. Sinon on ne s'y retrouve plus. (Quoi, ce serait Google qui supprime les références ? Mauvaise interface, changer interface)
Mode : je tape bonnement "ftp celui.la - c'est le mode active, enfin il me semble.
Ça dépend du client FTP. Le client de netkit-ftp (installé par défaut avec Woody) démarre en mode actif par défaut sauf si invoqué par "pftp". Par contre celui de lukemftp se lance en mode passif par défaut.
Et si tu essaies en mode passif (pftp pour lancer ftp en mode passif ou commande "passive" dans ftp pour basculer entre les modes actif et passif) ?
Le module ip_nat_ftp est donc bien dépendant du module ip_conntrack_ftp.
herbizarre root # uname -r 2.4.20-gentoo-r7
J'ai redémarré une machine avec un vieux 2.4.18-bf2.4 qui restait de l'installation de Woody, et comme chez Jacek ip_nat_ftp n'a pas besoin de ip_conntrack_ftp pour se charger.
Par contre, avec mon 2.4.18 fait maison (sources Debian) comme mon 2.4.29 (sources kernel.org) ou ton 2.4.20, charger ip_nat_ftp provoque le chargement de p_conntrack_ftp. Toutefois mon 2.4.18 maison contient les patches du patch-o-matic incluant les modifications apportés à Netfilter jusqu'au noyau 2.4.21.
Mais j'ai l'impression que ce n'est pas une "vraie" dépendance, pour plusieurs raisons.
1) lsmod n'indique pas cette dépendance entre les modules contrairement aux autres modules. On voit juste que ip_conntrack_ftp est utilisé par quelque chose.
2) ip_conntrack_ftp est listé par lsmod *au-dessus* de ip_nat_ftp, alors que les autres modules sont listés *au dessous*, dans l'ordre des dépendances successives. Cela me laisse penser qu'il a été chargé *après*.
3) quand on essaie de charger ip_nat_ftp avec insmod au lieu de modprobe, donc sans gestion automatique des dépendances, insmod ne râle pas s'il ne manque que ip_conntrack_ftp. Au final, les deux modules sont chargés. Etonnant de la part de insmod, non ?
4) De tout les fichiers de dépendances des modules de tous mes noyaux, *aucun* ne mentionne une telle dépendance.
Mon impression à moi que j'ai d'après tout ce qui précède, c'est que c'est ip_nat_ftp (sauf celui du 2.4.18-bf2.4) qui charge lui-même ip_conntrack_ftp et pas le système de dépendances. Qu'en pensez-vous ?
-- Pascal Vous pouvez me tutoyer. Piège à spam :
*Jacek* tapota sur f.c.o.l.configuration :
ben justement c'est ip_conntrack_ftp qui ne veut pas se charger tout
seul.
Bizarre. Normalement il y a une dépendance de modules qui fait que
ip_nat_ftp ne peut pas se charger sans ip_conntrack_ftp.
J'ai (lsmod)
Module Size Used by Not tainted
ip_nat_ftp 2944 0 (unused)
ip_conntrack_ftp 3200 0 (unused)
J'ai le noyeau 2.4.18-bf2.4 venant du vieux Debian 3.0 r1
Le module ip_nat_ftp est donc bien dépendant du module ip_conntrack_ftp.
herbizarre root # uname -r
2.4.20-gentoo-r7
J'ai redémarré une machine avec un vieux 2.4.18-bf2.4 qui restait de
l'installation de Woody, et comme chez Jacek ip_nat_ftp n'a pas besoin
de ip_conntrack_ftp pour se charger.
Par contre, avec mon 2.4.18 fait maison (sources Debian) comme mon
2.4.29 (sources kernel.org) ou ton 2.4.20, charger ip_nat_ftp provoque
le chargement de p_conntrack_ftp. Toutefois mon 2.4.18 maison contient
les patches du patch-o-matic incluant les modifications apportés à
Netfilter jusqu'au noyau 2.4.21.
Mais j'ai l'impression que ce n'est pas une "vraie" dépendance, pour
plusieurs raisons.
1) lsmod n'indique pas cette dépendance entre les modules contrairement
aux autres modules. On voit juste que ip_conntrack_ftp est utilisé par
quelque chose.
2) ip_conntrack_ftp est listé par lsmod *au-dessus* de ip_nat_ftp, alors
que les autres modules sont listés *au dessous*, dans l'ordre des
dépendances successives. Cela me laisse penser qu'il a été chargé *après*.
3) quand on essaie de charger ip_nat_ftp avec insmod au lieu de
modprobe, donc sans gestion automatique des dépendances, insmod ne râle
pas s'il ne manque que ip_conntrack_ftp. Au final, les deux modules sont
chargés. Etonnant de la part de insmod, non ?
4) De tout les fichiers de dépendances des modules de tous mes noyaux,
*aucun* ne mentionne une telle dépendance.
Mon impression à moi que j'ai d'après tout ce qui précède, c'est que
c'est ip_nat_ftp (sauf celui du 2.4.18-bf2.4) qui charge lui-même
ip_conntrack_ftp et pas le système de dépendances.
Qu'en pensez-vous ?
--
Pascal
Vous pouvez me tutoyer.
Piège à spam : boite-a-spam@plouf.fr.eu.org
Le module ip_nat_ftp est donc bien dépendant du module ip_conntrack_ftp.
herbizarre root # uname -r 2.4.20-gentoo-r7
J'ai redémarré une machine avec un vieux 2.4.18-bf2.4 qui restait de l'installation de Woody, et comme chez Jacek ip_nat_ftp n'a pas besoin de ip_conntrack_ftp pour se charger.
Par contre, avec mon 2.4.18 fait maison (sources Debian) comme mon 2.4.29 (sources kernel.org) ou ton 2.4.20, charger ip_nat_ftp provoque le chargement de p_conntrack_ftp. Toutefois mon 2.4.18 maison contient les patches du patch-o-matic incluant les modifications apportés à Netfilter jusqu'au noyau 2.4.21.
Mais j'ai l'impression que ce n'est pas une "vraie" dépendance, pour plusieurs raisons.
1) lsmod n'indique pas cette dépendance entre les modules contrairement aux autres modules. On voit juste que ip_conntrack_ftp est utilisé par quelque chose.
2) ip_conntrack_ftp est listé par lsmod *au-dessus* de ip_nat_ftp, alors que les autres modules sont listés *au dessous*, dans l'ordre des dépendances successives. Cela me laisse penser qu'il a été chargé *après*.
3) quand on essaie de charger ip_nat_ftp avec insmod au lieu de modprobe, donc sans gestion automatique des dépendances, insmod ne râle pas s'il ne manque que ip_conntrack_ftp. Au final, les deux modules sont chargés. Etonnant de la part de insmod, non ?
4) De tout les fichiers de dépendances des modules de tous mes noyaux, *aucun* ne mentionne une telle dépendance.
Mon impression à moi que j'ai d'après tout ce qui précède, c'est que c'est ip_nat_ftp (sauf celui du 2.4.18-bf2.4) qui charge lui-même ip_conntrack_ftp et pas le système de dépendances. Qu'en pensez-vous ?
-- Pascal Vous pouvez me tutoyer. Piège à spam :
TiChou
Dans le message <news:cvlcs2$19b3$, ** tapota sur f.c.o.l.configuration :
[...]
Mon impression à moi que j'ai d'après tout ce qui précède, c'est que c'est ip_nat_ftp (sauf celui du 2.4.18-bf2.4) qui charge lui-même ip_conntrack_ftp et pas le système de dépendances. Qu'en pensez-vous ?
Oui, c'est exactement ça. Ceci s'explique par le fait que le module ip_nat_ftp utilise des fonctions du module ip_conntrack_ftp. Par contre, pourquoi ces dépendances ne sont pas enregistrées dans modules.dep par depmod ? Ça je ne serais l'expliquer.
-- TiChou
Dans le message <news:cvlcs2$19b3$1@biggoron.nerim.net>,
*Pascal@plouf* tapota sur f.c.o.l.configuration :
[...]
Mon impression à moi que j'ai d'après tout ce qui précède, c'est que c'est
ip_nat_ftp (sauf celui du 2.4.18-bf2.4) qui charge lui-même
ip_conntrack_ftp et pas le système de dépendances.
Qu'en pensez-vous ?
Oui, c'est exactement ça. Ceci s'explique par le fait que le module
ip_nat_ftp utilise des fonctions du module ip_conntrack_ftp. Par contre,
pourquoi ces dépendances ne sont pas enregistrées dans modules.dep par
depmod ? Ça je ne serais l'expliquer.
Dans le message <news:cvlcs2$19b3$, ** tapota sur f.c.o.l.configuration :
[...]
Mon impression à moi que j'ai d'après tout ce qui précède, c'est que c'est ip_nat_ftp (sauf celui du 2.4.18-bf2.4) qui charge lui-même ip_conntrack_ftp et pas le système de dépendances. Qu'en pensez-vous ?
Oui, c'est exactement ça. Ceci s'explique par le fait que le module ip_nat_ftp utilise des fonctions du module ip_conntrack_ftp. Par contre, pourquoi ces dépendances ne sont pas enregistrées dans modules.dep par depmod ? Ça je ne serais l'expliquer.
-- TiChou
jacek_lempicki
"TiChou" wrote in message news:...
Dans le message <news:, *Jacek* tapota sur f.c.o.l.configuration :
"" wrote:
Il doit y avoir aussi ceux-là normalement :
ip_conntrack_ftp ip_tables ip_conntrack
ben justement c'est ip_conntrack_ftp qui ne veut pas se charger tout seul.
Bizarre. Normalement il y a une dépendance de modules qui fait que ip_nat_ftp ne peut pas se charger sans ip_conntrack_ftp.
