j'ai trouvé ces lignes sur internet pour autoriser mes postes client ace
connecter a FTP
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED
-j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state
ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535
-m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp
--sport 1024:65535 --dport 1024:65535 -m state --state
ESTABLISHED,RELATED -j ACCEPT
mais qu'est ce que ca veux dire???
est ce que tout les port de ma machines sont ouvert entre 1024 et 65536
???
j'ai trouvé ces lignes sur internet pour autoriser mes postes client ace
connecter a FTP
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED
-j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state
ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535
-m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp
--sport 1024:65535 --dport 1024:65535 -m state --state
ESTABLISHED,RELATED -j ACCEPT
mais qu'est ce que ca veux dire???
est ce que tout les port de ma machines sont ouvert entre 1024 et 65536
???
j'ai trouvé ces lignes sur internet pour autoriser mes postes client ace
connecter a FTP
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED
-j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state
ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535
-m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp
--sport 1024:65535 --dport 1024:65535 -m state --state
ESTABLISHED,RELATED -j ACCEPT
mais qu'est ce que ca veux dire???
est ce que tout les port de ma machines sont ouvert entre 1024 et 65536
???
salut.
j'ai trouvé ces lignes sur internet pour autoriser mes postes client ace
connecter a FTP
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j
ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j
ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED,RELATED -j ACCEPT
mais qu'est ce que ca veux dire???
surtout les deux dernières???
est ce que tout les port de ma machines sont ouvert entre 1024 et 65536 ???
Etienne
salut.
j'ai trouvé ces lignes sur internet pour autoriser mes postes client ace
connecter a FTP
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j
ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j
ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED,RELATED -j ACCEPT
mais qu'est ce que ca veux dire???
surtout les deux dernières???
est ce que tout les port de ma machines sont ouvert entre 1024 et 65536 ???
Etienne
salut.
j'ai trouvé ces lignes sur internet pour autoriser mes postes client ace
connecter a FTP
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j
ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j
ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED,RELATED -j ACCEPT
mais qu'est ce que ca veux dire???
surtout les deux dernières???
est ce que tout les port de ma machines sont ouvert entre 1024 et 65536 ???
Etienne
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED,RELATED -j ACCEPT
mais qu'est ce que ca veux dire???
surtout les deux dernières???
est ce que tout les port de ma machines sont ouvert entre 1024 et 65536
???
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED,RELATED -j ACCEPT
mais qu'est ce que ca veux dire???
surtout les deux dernières???
est ce que tout les port de ma machines sont ouvert entre 1024 et 65536
???
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m
state --state ESTABLISHED,RELATED -j ACCEPT
mais qu'est ce que ca veux dire???
surtout les deux dernières???
est ce que tout les port de ma machines sont ouvert entre 1024 et 65536
???
Non ca veut dire qu'il faut que ca soit un port compris entre 1024 et
65535. Il y a quand même beaucoup plus simple, beaucoup plus efficace et
plus sécurisé pour faire du ftp passif, en utilisant les modules
ip_conntrack_ftp et ip_nat_ftp.
Non ca veut dire qu'il faut que ca soit un port compris entre 1024 et
65535. Il y a quand même beaucoup plus simple, beaucoup plus efficace et
plus sécurisé pour faire du ftp passif, en utilisant les modules
ip_conntrack_ftp et ip_nat_ftp.
Non ca veut dire qu'il faut que ca soit un port compris entre 1024 et
65535. Il y a quand même beaucoup plus simple, beaucoup plus efficace et
plus sécurisé pour faire du ftp passif, en utilisant les modules
ip_conntrack_ftp et ip_nat_ftp.
Dans sa prose, ben64 nous ecrivait :Non ca veut dire qu'il faut que ca soit un port compris entre 1024 et
65535. Il y a quand même beaucoup plus simple, beaucoup plus efficace et
plus sécurisé pour faire du ftp passif, en utilisant les modules
ip_conntrack_ftp et ip_nat_ftp.
Tu devrais revoir le fonctionnement du moteur d'états de Netfilter.
Le module ip_conntrack_ftp est le module qui va justement permettre de
générer les "expectations" qui vont entraîner la catégorisation en
état RELATED. Mais en tout état de cause, le chargement des modules de
suivi de session ne dispense _certainement_ pas d'écrire des règles de
filtrage. Et inversement, l'efficacité de ces règles suppose le
chargement de ces modules...
Dans sa prose, ben64 nous ecrivait :
Non ca veut dire qu'il faut que ca soit un port compris entre 1024 et
65535. Il y a quand même beaucoup plus simple, beaucoup plus efficace et
plus sécurisé pour faire du ftp passif, en utilisant les modules
ip_conntrack_ftp et ip_nat_ftp.
Tu devrais revoir le fonctionnement du moteur d'états de Netfilter.
Le module ip_conntrack_ftp est le module qui va justement permettre de
générer les "expectations" qui vont entraîner la catégorisation en
état RELATED. Mais en tout état de cause, le chargement des modules de
suivi de session ne dispense _certainement_ pas d'écrire des règles de
filtrage. Et inversement, l'efficacité de ces règles suppose le
chargement de ces modules...
Dans sa prose, ben64 nous ecrivait :Non ca veut dire qu'il faut que ca soit un port compris entre 1024 et
65535. Il y a quand même beaucoup plus simple, beaucoup plus efficace et
plus sécurisé pour faire du ftp passif, en utilisant les modules
ip_conntrack_ftp et ip_nat_ftp.
Tu devrais revoir le fonctionnement du moteur d'états de Netfilter.
Le module ip_conntrack_ftp est le module qui va justement permettre de
générer les "expectations" qui vont entraîner la catégorisation en
état RELATED. Mais en tout état de cause, le chargement des modules de
suivi de session ne dispense _certainement_ pas d'écrire des règles de
filtrage. Et inversement, l'efficacité de ces règles suppose le
chargement de ces modules...
Ces modules ne dispensent certainement pas d'écrire des règles de
filtrages, et je ne l'ai jamais dit, relis mon message. J'ai juste dit
qu'il y avait beaucoup plus simple, et il y a beaucoup plus simple.
modprobe ip_nat_ftp
Voilà c'est tout ! Pas la peine d'aller chercher le port 20 ou quelque
chose d'autres.
Donc tu devrais revoir le fonctionnement de ces modules ...
Ces modules ne dispensent certainement pas d'écrire des règles de
filtrages, et je ne l'ai jamais dit, relis mon message. J'ai juste dit
qu'il y avait beaucoup plus simple, et il y a beaucoup plus simple.
modprobe ip_nat_ftp
Voilà c'est tout ! Pas la peine d'aller chercher le port 20 ou quelque
chose d'autres.
Donc tu devrais revoir le fonctionnement de ces modules ...
Ces modules ne dispensent certainement pas d'écrire des règles de
filtrages, et je ne l'ai jamais dit, relis mon message. J'ai juste dit
qu'il y avait beaucoup plus simple, et il y a beaucoup plus simple.
modprobe ip_nat_ftp
Voilà c'est tout ! Pas la peine d'aller chercher le port 20 ou quelque
chose d'autres.
Donc tu devrais revoir le fonctionnement de ces modules ...
Ce que tu as dit, c'est que l'utilisation des modules était beaucoup plus
simple que les règles exposées, sans pour autant ajouter la moindre la
règle derrière, donc implicitement qu'aucune règle n'est nécessaire.
Et je suis heureux de ne pas avoir été le seul à le comprendre comme
ça (cf. post de Gael). C'est là que se situe le problème, nul part
ailleurs.
Ce que tu as dit, c'est que l'utilisation des modules était beaucoup plus
simple que les règles exposées, sans pour autant ajouter la moindre la
règle derrière, donc implicitement qu'aucune règle n'est nécessaire.
Et je suis heureux de ne pas avoir été le seul à le comprendre comme
ça (cf. post de Gael). C'est là que se situe le problème, nul part
ailleurs.
Ce que tu as dit, c'est que l'utilisation des modules était beaucoup plus
simple que les règles exposées, sans pour autant ajouter la moindre la
règle derrière, donc implicitement qu'aucune règle n'est nécessaire.
Et je suis heureux de ne pas avoir été le seul à le comprendre comme
ça (cf. post de Gael). C'est là que se situe le problème, nul part
ailleurs.
iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
"ben64" a écrit dans le message de news:
3f606eaa$0$27048$iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPTiptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Si j'ai bien compris, l'idée c'est de filtrer que sur l'etablissement des
connections et pas des connexion elles meme.
ce qui revient a utiliser les regles
iptables INPUT ... --dport ...
pour le filtrage en entrée (Internet -> Reseau)
et
iptables OUTPUT... --dport ...
pour le filtrage en sortie (Reseau -> Internet)
donc si j'ai bien compris (2 eme)
on utilise jamais --sport pour les règle de firewall puiqu'elle sont
forcément ESTABLISHED ou RELATED
"ben64" <benoit@pibi-sa.net> a écrit dans le message de news:
3f606eaa$0$27048$626a54ce@news.free.fr...
iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Si j'ai bien compris, l'idée c'est de filtrer que sur l'etablissement des
connections et pas des connexion elles meme.
ce qui revient a utiliser les regles
iptables INPUT ... --dport ...
pour le filtrage en entrée (Internet -> Reseau)
et
iptables OUTPUT... --dport ...
pour le filtrage en sortie (Reseau -> Internet)
donc si j'ai bien compris (2 eme)
on utilise jamais --sport pour les règle de firewall puiqu'elle sont
forcément ESTABLISHED ou RELATED
"ben64" a écrit dans le message de news:
3f606eaa$0$27048$iptables -I INPUT -i $EXT_INF -p tcp --dport 21 --syn -m state --state
NEW -j ACCEPTiptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Si j'ai bien compris, l'idée c'est de filtrer que sur l'etablissement des
connections et pas des connexion elles meme.
ce qui revient a utiliser les regles
iptables INPUT ... --dport ...
pour le filtrage en entrée (Internet -> Reseau)
et
iptables OUTPUT... --dport ...
pour le filtrage en sortie (Reseau -> Internet)
donc si j'ai bien compris (2 eme)
on utilise jamais --sport pour les règle de firewall puiqu'elle sont
forcément ESTABLISHED ou RELATED