J'utilise linux 2.4.20 (je crois) et iptables sur une machine qui me
sert de routeur et de firewall. Mon lan est branché sur l'eth0, tandis
que le modem (un sagem 908) utilise le ppp over ip sur mon eth1 pour me
créer une ppp0... Jusque là, tout va bien...
Mes règles de firewall me permettent de tout faire fonctionner
parfaitement (en masqueradant), y compris le ftp sur port "standard". Or
un ami a un ftp sur port non standard (69), et le module
ip_conntrack_ftp ne semble pas pouvoir suivre cette connexion (refus
d'ouvrir la connexion données)
Ma question est la suivante : comment est-il possible de notifier
ip_connntrack_ftp qu'il doit aussi monitorer ce port?
Accessoirement, je me suis dit que j'allais filtrer sur la MAC de mon
pote pour contourner le problème (il est en ip dynamique et sur une
connexion pas très stable, donc son ip change souvent... il utilise
cependant une redirection du type dyndns). Or, magré un épluchage de log
en règles, je n'ai rien trouvé sur l'adresse MAc de sa connexion...
(champ MAC vide dans les logs)
Exemple de log lors de la tentative d'ouverture de la connexion données
du ftp (un peu trafiqué pr enlever les infos pour des raisons évidentes...)
Feb 19 23:22:58 pingouin kernel: [FW DROP] IN=ppp0 OUT= MAC=
SRC=l_ip_du_copain DST=Mon_ip_a_moi LEN=60 TOS=0x00 PREC=0x00 TTL=60
ID=49519 DF PROTO=TCP SPT=Le_port_de_données DPT=2885 WINDOW=4356
RES=0x00 SYN URGP=0
En espérant que mon problème soit clair et que quelqu'un aura une
réponse miracle, bonne soirée!
(Pour info, j'ai lu les tutoriaux sur netfilter.samba.org, j'ai googlisé
pas mal, donc RTFM sera fort peu considéré comme réponse ;) )
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
TiChou
Dans l'article news:40353c2f$0$2436$, Bruce écrivait :
Bonjour,
Bonsoir,
J'utilise linux 2.4.20 (je crois)
uname -r (pour en être sûr)
et iptables sur une machine qui me sert de routeur et de firewall. Mon lan est branché sur l'eth0, tandis que le modem (un sagem 908) utilise le ppp over ip sur mon eth1 pour me créer une ppp0...
PPP over Ethernet (PPPoE)
Jusque là, tout va bien...
Oui, ou presque. :)
Mes règles de firewall me permettent de tout faire fonctionner parfaitement (en masqueradant), y compris le ftp sur port "standard". Or un ami a un ftp sur port non standard (69), et le module ip_conntrack_ftp ne semble pas pouvoir suivre cette connexion (refus d'ouvrir la connexion données) Ma question est la suivante : comment est-il possible de notifier ip_connntrack_ftp qu'il doit aussi monitorer ce port?
Avec le paramètre ports en chargeant le module :
modprobe ip_conntrack_ftp ports!,69 (et modprobe ip_nat_ftp ports!,69)
A noter que ip_conntrack_ftp permet le suivi des connexions ftp sans rien y modifier alors que c'est ip_nat_ftp qui natera correctement les connexions ftp pour les machines du lan.
Accessoirement, je me suis dit que j'allais filtrer sur la MAC de mon pote pour contourner le problème (il est en ip dynamique et sur une connexion pas très stable, donc son ip change souvent... il utilise cependant une redirection du type dyndns). Or, magré un épluchage de log en règles, je n'ai rien trouvé sur l'adresse MAc de sa connexion... (champ MAC vide dans les logs)
Normal étant donné que l'adresse MAC est l'identifiant qui sert aux machines du même réseau physique à identifier une carte réseau Ethernet parmis d'autres.
Exemple de log lors de la tentative d'ouverture de la connexion données du ftp (un peu trafiqué pr enlever les infos pour des raisons évidentes...) Feb 19 23:22:58 pingouin kernel: [FW DROP] IN=ppp0 OUT= MAC > SRC=l_ip_du_copain
J'espère avoir apporté la bonne solution pour vous.
bonne soirée!
Vous de même.
(Pour info, j'ai lu les tutoriaux sur netfilter.samba.org, j'ai googlisé pas mal, donc RTFM sera fort peu considéré comme réponse ;) )
Un peu de lecture supplémentaire ne vous fera pas de mal :
http://christian.caleca.free.fr
-- TiChou
Dans l'article news:40353c2f$0$2436$626a14ce@news.free.fr,
Bruce <Florent.revelut@free.fr> écrivait :
Bonjour,
Bonsoir,
J'utilise linux 2.4.20 (je crois)
uname -r (pour en être sûr)
et iptables sur une machine qui me
sert de routeur et de firewall. Mon lan est branché sur l'eth0, tandis
que le modem (un sagem 908) utilise le ppp over ip sur mon eth1 pour me
créer une ppp0...
PPP over Ethernet (PPPoE)
Jusque là, tout va bien...
Oui, ou presque. :)
Mes règles de firewall me permettent de tout faire fonctionner
parfaitement (en masqueradant), y compris le ftp sur port "standard". Or
un ami a un ftp sur port non standard (69), et le module
ip_conntrack_ftp ne semble pas pouvoir suivre cette connexion (refus
d'ouvrir la connexion données)
Ma question est la suivante : comment est-il possible de notifier
ip_connntrack_ftp qu'il doit aussi monitorer ce port?
Avec le paramètre ports en chargeant le module :
modprobe ip_conntrack_ftp ports!,69
(et modprobe ip_nat_ftp ports!,69)
A noter que ip_conntrack_ftp permet le suivi des connexions ftp sans rien y
modifier alors que c'est ip_nat_ftp qui natera correctement les connexions
ftp pour les machines du lan.
Accessoirement, je me suis dit que j'allais filtrer sur la MAC de mon
pote pour contourner le problème (il est en ip dynamique et sur une
connexion pas très stable, donc son ip change souvent... il utilise
cependant une redirection du type dyndns). Or, magré un épluchage de log
en règles, je n'ai rien trouvé sur l'adresse MAc de sa connexion...
(champ MAC vide dans les logs)
Normal étant donné que l'adresse MAC est l'identifiant qui sert aux machines
du même réseau physique à identifier une carte réseau Ethernet parmis
d'autres.
Exemple de log lors de la tentative d'ouverture de la connexion données
du ftp (un peu trafiqué pr enlever les infos pour des raisons
évidentes...) Feb 19 23:22:58 pingouin kernel: [FW DROP] IN=ppp0 OUT= MAC > SRC=l_ip_du_copain
Dans l'article news:40353c2f$0$2436$, Bruce écrivait :
Bonjour,
Bonsoir,
J'utilise linux 2.4.20 (je crois)
uname -r (pour en être sûr)
et iptables sur une machine qui me sert de routeur et de firewall. Mon lan est branché sur l'eth0, tandis que le modem (un sagem 908) utilise le ppp over ip sur mon eth1 pour me créer une ppp0...
PPP over Ethernet (PPPoE)
Jusque là, tout va bien...
Oui, ou presque. :)
Mes règles de firewall me permettent de tout faire fonctionner parfaitement (en masqueradant), y compris le ftp sur port "standard". Or un ami a un ftp sur port non standard (69), et le module ip_conntrack_ftp ne semble pas pouvoir suivre cette connexion (refus d'ouvrir la connexion données) Ma question est la suivante : comment est-il possible de notifier ip_connntrack_ftp qu'il doit aussi monitorer ce port?
Avec le paramètre ports en chargeant le module :
modprobe ip_conntrack_ftp ports!,69 (et modprobe ip_nat_ftp ports!,69)
A noter que ip_conntrack_ftp permet le suivi des connexions ftp sans rien y modifier alors que c'est ip_nat_ftp qui natera correctement les connexions ftp pour les machines du lan.
Accessoirement, je me suis dit que j'allais filtrer sur la MAC de mon pote pour contourner le problème (il est en ip dynamique et sur une connexion pas très stable, donc son ip change souvent... il utilise cependant une redirection du type dyndns). Or, magré un épluchage de log en règles, je n'ai rien trouvé sur l'adresse MAc de sa connexion... (champ MAC vide dans les logs)
Normal étant donné que l'adresse MAC est l'identifiant qui sert aux machines du même réseau physique à identifier une carte réseau Ethernet parmis d'autres.
Exemple de log lors de la tentative d'ouverture de la connexion données du ftp (un peu trafiqué pr enlever les infos pour des raisons évidentes...) Feb 19 23:22:58 pingouin kernel: [FW DROP] IN=ppp0 OUT= MAC > SRC=l_ip_du_copain
J'espère avoir apporté la bonne solution pour vous.
bonne soirée!
Vous de même.
(Pour info, j'ai lu les tutoriaux sur netfilter.samba.org, j'ai googlisé pas mal, donc RTFM sera fort peu considéré comme réponse ;) )
Un peu de lecture supplémentaire ne vous fera pas de mal :
http://christian.caleca.free.fr
-- TiChou
Bruce
J'utilise linux 2.4.20 (je crois) uname -r (pour en être sûr)
d'habitude, je me fends d'un uname -a pr vérifier, mais là, un truc compilait dans mon ssh et j'avais la flemme... Je confirme 2.4.20...
PPP over Ethernet (PPPoE)
Oki, au temps pr moi, c un lapsus (surmenage avec le boulot où tout est on ip et pas over ethernet ;) )
Jusque là, tout va bien... Oui, ou presque. :)
A de petits détails près...
modprobe ip_conntrack_ftp ports!,69 (et modprobe ip_nat_ftp ports!,69)
A noter que ip_conntrack_ftp permet le suivi des connexions ftp sans rien y modifier alors que c'est ip_nat_ftp qui natera correctement les connexions ftp pour les machines du lan.
Merci bien, ça répond à ma question...
Accessoirement, je me suis dit que j'allais filtrer sur la MAC de mon pote pour contourner le problème (il est en ip dynamique et sur une connexion pas très stable, donc son ip change souvent... il utilise cependant une redirection du type dyndns). Or, magré un épluchage de log en règles, je n'ai rien trouvé sur l'adresse MAc de sa connexion... (champ MAC vide dans les logs)
Normal étant donné que l'adresse MAC est l'identifiant qui sert aux machines du même réseau physique à identifier une carte réseau Ethernet parmis d'autres.
je croyais que la MAC était un identifiant physique de l'interface... Quand j'étais connecté directement au rézo par ma carte éthernet, on pouvait récupérer les mac d'à peu près tout. Je pensais donc que les interfaces qui faisaient le pont avaient la même chose en dur... va falloir rtfm encore un peu je sens...
DST=Mon_ip_a_moi Celle-ci 82.64.41.6 ?
Ou pas... Qui a dit que je postais depuis le même réseau que celui où se pose le problème (oui, c'est celle là)
Mon alzheimer me joue des tours... J'avais oublié que j'avais donné le numéro du port du ftp plus haut... donc effectivement, data = ftp -1
Il l'était.
Vous m'en voyez ravi
et que quelqu'un aura une réponse miracle, J'espère avoir apporté la bonne solution pour vous.
Je m'en vais de ce pas tester... Mais tellement bien affirmer que l'on n'en saurait douter :o)
http://christian.caleca.free.fr J'ai effectivement vu ce lien passer quelques fois, mais ne le connais
pas... Ce sera une bonne occupation au boulot demain ;)
Bonne nuit,
-- Bruce
J'utilise linux 2.4.20 (je crois)
uname -r (pour en être sûr)
d'habitude, je me fends d'un uname -a pr vérifier, mais là, un truc
compilait dans mon ssh et j'avais la flemme... Je confirme 2.4.20...
PPP over Ethernet (PPPoE)
Oki, au temps pr moi, c un lapsus (surmenage avec le boulot où tout est
on ip et pas over ethernet ;) )
Jusque là, tout va bien...
Oui, ou presque. :)
A de petits détails près...
modprobe ip_conntrack_ftp ports!,69
(et modprobe ip_nat_ftp ports!,69)
A noter que ip_conntrack_ftp permet le suivi des connexions ftp sans rien y
modifier alors que c'est ip_nat_ftp qui natera correctement les connexions
ftp pour les machines du lan.
Merci bien, ça répond à ma question...
Accessoirement, je me suis dit que j'allais filtrer sur la MAC de mon
pote pour contourner le problème (il est en ip dynamique et sur une
connexion pas très stable, donc son ip change souvent... il utilise
cependant une redirection du type dyndns). Or, magré un épluchage de log
en règles, je n'ai rien trouvé sur l'adresse MAc de sa connexion...
(champ MAC vide dans les logs)
Normal étant donné que l'adresse MAC est l'identifiant qui sert aux machines
du même réseau physique à identifier une carte réseau Ethernet parmis
d'autres.
je croyais que la MAC était un identifiant physique de l'interface...
Quand j'étais connecté directement au rézo par ma carte éthernet, on
pouvait récupérer les mac d'à peu près tout. Je pensais donc que les
interfaces qui faisaient le pont avaient la même chose en dur... va
falloir rtfm encore un peu je sens...
DST=Mon_ip_a_moi
Celle-ci 82.64.41.6 ?
Ou pas... Qui a dit que je postais depuis le même réseau que celui où
se pose le problème (oui, c'est celle là)
J'utilise linux 2.4.20 (je crois) uname -r (pour en être sûr)
d'habitude, je me fends d'un uname -a pr vérifier, mais là, un truc compilait dans mon ssh et j'avais la flemme... Je confirme 2.4.20...
PPP over Ethernet (PPPoE)
Oki, au temps pr moi, c un lapsus (surmenage avec le boulot où tout est on ip et pas over ethernet ;) )
Jusque là, tout va bien... Oui, ou presque. :)
A de petits détails près...
modprobe ip_conntrack_ftp ports!,69 (et modprobe ip_nat_ftp ports!,69)
A noter que ip_conntrack_ftp permet le suivi des connexions ftp sans rien y modifier alors que c'est ip_nat_ftp qui natera correctement les connexions ftp pour les machines du lan.
Merci bien, ça répond à ma question...
Accessoirement, je me suis dit que j'allais filtrer sur la MAC de mon pote pour contourner le problème (il est en ip dynamique et sur une connexion pas très stable, donc son ip change souvent... il utilise cependant une redirection du type dyndns). Or, magré un épluchage de log en règles, je n'ai rien trouvé sur l'adresse MAc de sa connexion... (champ MAC vide dans les logs)
Normal étant donné que l'adresse MAC est l'identifiant qui sert aux machines du même réseau physique à identifier une carte réseau Ethernet parmis d'autres.
je croyais que la MAC était un identifiant physique de l'interface... Quand j'étais connecté directement au rézo par ma carte éthernet, on pouvait récupérer les mac d'à peu près tout. Je pensais donc que les interfaces qui faisaient le pont avaient la même chose en dur... va falloir rtfm encore un peu je sens...
DST=Mon_ip_a_moi Celle-ci 82.64.41.6 ?
Ou pas... Qui a dit que je postais depuis le même réseau que celui où se pose le problème (oui, c'est celle là)
