J'ai un probl=C3=A8me =C3=A9trange que voici=C2=A0: nous h=C3=A9bergeons un=
service FTP
derri=C3=A8re un pare-feu, service FTP accessible en mode passif uniquement.
J'ai donc configur=C3=A9 le d=C3=A9mon ProFTPd avec la directive =C2=AB=C2=
=A0PassivePorts
50000 50500=C2=A0=C2=BB et ai d=C3=A9bloqu=C3=A9 les ports FTP comme suit=
=C2=A0:
Je tiens =C3=A0 pr=C3=A9ciser que ces r=C3=A8gles sont identiques =C3=A0 ce=
lles d'un autre
serveur sur lequel ProFTPd est parfaitement accessible et dispose de la
m=C3=AAme configuration. La seule diff=C3=A9rence logicielle pertinente que=
je
connaisse est que le serveur probl=C3=A9matique est sous Wheezy, le
fonctionnel sous Squeeze.
Le probl=C3=A8me se manifeste lors de la tentative d'=C3=A9tablissement de =
la
connexion passive entre mon serveur 37.187.25.210 et mon client
37.72.199.45=C2=A0: FileZilla bloque =C3=A0 la commande MLSD=C2=A0; voici la
sortie de tcpdump lors de cet =C3=A9chec=C2=A0:
Comme vous pouvez le constater sur cette capture, le serveur re=C3=A7oit bi=
en
les paquets SYN du client pr=C3=A9alables =C3=A0 l'ouverture de la connexio=
n TCP
passive, mais n'y r=C3=A9pond pas. Dans le m=C3=AAme temps, les journaux sy=
st=C3=A8me
me donnent la sortie suivante=C2=A0:
Comme je comprends cette sortie =C3=A9cran, elle m'indique deux choses=C2=
=A0:
1) tcpdump lit les paquets tels qu'ils sont re=C3=A7us et non pas tel q=
ue
le pare-feu les laisse passer, comportement que je suspectais mais que
je n'avais jamais observ=C3=A9 jusqu'=C3=A0 pr=C3=A9sent=C2=A0;
2) les paquets de la connexion passive sont bien re=C3=A7us par le
serveur mais rejet=C3=A9s par son pare-feu.
Le second point me para=C3=AEt =C3=A9trange=C2=A0; en effet, vu que les paq=
uets
correspondant =C3=A0 la connexion passive arrivent sur le port 50049 du
serveur, donc dans l'intervalle 50000-50500, et qu'ils sont li=C3=A9s =C3=A0
l'=C3=A9tablissement de la connexion passive, ils devraient correspondre =
=C3=A0 la
r=C3=A8gle iptables INPUT =C2=AB=C2=A0tcp dpts:50000:50500 state RELATED,ES=
TABLISHED=C2=A0=C2=BB=C2=A0:
ces paquets =C3=A9tant li=C3=A9s =C3=A0 connexion FTP pr=C3=A9-existante su=
r le port 21,
ils devraient =C3=AAtre accept=C3=A9s par la r=C3=A8gle sur l'=C3=A9tat REL=
ATED, or ce
n'est pas le cas. Afin de dissiper le doute, j'ai d=C3=A9compos=C3=A9 les r=
=C3=A8gles
des ports 50000-50500 et ait r=C3=A9initialis=C3=A9 les compteurs du pare-f=
eu
puis la connexion FTP pour obtenir le r=C3=A9sultat suivant=C2=A0:
Comme vous pouvez le voir, la r=C3=A8gle OUTPUT concernant les paquets
de connexions =C3=A0 l'=C3=A9tat RELATED, =C3=A0 savoir =C2=AB=C2=A0tcp spt=
s:50000:50500 state
RELATED=C2=A0=C2=BB, n'est jamais appel=C3=A9e alors qu'elle aurait d=C3=BB=
l'=C3=AAtre dans ce
cas. J'analyse donc les r=C3=A9sultats comme suit=C2=A0: le paquet SYN de la
connexion passive est re=C3=A7u par le serveur, n'est pas reconnu comme une
connexion RELATED et passe par la troisi=C3=A8me r=C3=A8gle INPUT qui l'acc=
epte
uniquement sur la base du port de destination utilis=C3=A9=C2=A0; le serveur
r=C3=A9pond =C3=A0 ce paquet, et la sortie de ce paquet est accept=C3=A9 pa=
r la r=C3=A8gle
OUTPUT li=C3=A9e =C3=A0 l'=C3=A9tat ESTABLISHED, puisque, comme il s'agit d=
'un paquet
en r=C3=A9ponse =C3=A0 un autre, la machine =C3=A0 =C3=A9tat d'iptables con=
sid=C3=A8re la
connexion ESTABLISHED. =C3=80 partir de ce moment, tous les paquets =C3=A0
destination du serveur sont accept=C3=A9s par la r=C3=A8gle INPUT li=C3=A9e=
=C3=A0 l'=C3=A9tat
ESTABLISHED, ce qui explique qu'un seul paquet d=C3=A9clenche la r=C3=A8gle=
INPUT
correspondant au seul port de destination.
Ma d=C3=A9duction est que la conntrack est d=C3=A9fectueuse car elle a =C3=
=A9t=C3=A9
incapable de reconna=C3=AEtre la connexion FTP passive comme une connexion =
li=C3=A9e =C3=A0
une autre connexion pr=C3=A9-existante, ce qui a fait =C3=A9chouer la r=C3=
=A8gle
acceptant les paquets de connexions =C3=A0 l'=C3=A9tat RELATED.
Me tromp=C3=A9-je en affirmant que le probl=C3=A8me vient de la conntrack=
=C2=A0? Si
oui, o=C3=B9 est mon erreur=C2=A0? Sinon, si c'est bien un bug de la conntr=
ack,
que dois-je faire=C2=A0? Ouvrir un ticket de bug=C2=A0? Dans ce cas, concer=
nant
quel paquet=C2=A0? Sinon, que faire d'autre=C2=A0?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140624144247.GA32052@europecamions-interactive.com
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
daniel huhardeaux
Le 24/06/2014 16:42, David Guyot a écrit :
Salut, la liste.
Bonjour,
J'ai un problème étrange que voici : nous hébergeons un service FTP derrière un pare-feu, service FTP accessible en mode passif uniquement. J'ai donc configuré le démon ProFTPd avec la directive « PassivePorts 50000 50500 » et ai débloqué les ports FTP comme suit :
[...]
Pour du ftp c'est le module ip_conntrack_ftp. Est ce bien celui ci que vous utilisez ?
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 24/06/2014 16:42, David Guyot a écrit :
Salut, la liste.
Bonjour,
J'ai un problème étrange que voici : nous hébergeons un service FTP
derrière un pare-feu, service FTP accessible en mode passif uniquement.
J'ai donc configuré le démon ProFTPd avec la directive « PassivePorts
50000 50500 » et ai débloqué les ports FTP comme suit :
[...]
Pour du ftp c'est le module ip_conntrack_ftp. Est ce bien celui ci que
vous utilisez ?
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53A9999B.1030303@tootai.net
J'ai un problème étrange que voici : nous hébergeons un service FTP derrière un pare-feu, service FTP accessible en mode passif uniquement. J'ai donc configuré le démon ProFTPd avec la directive « PassivePorts 50000 50500 » et ai débloqué les ports FTP comme suit :
[...]
Pour du ftp c'est le module ip_conntrack_ftp. Est ce bien celui ci que vous utilisez ?
Le mardi 24 juin 2014 à 17:30:35 +0200, daniel huhardeaux a écrit:
Le 24/06/2014 16:42, David Guyot a écrit : >Salut, la liste.
Bonjour,
Bonjour.
> >J'ai un problème étrange que voici : nous hébergeons un service FTP >derrière un pare-feu, service FTP accessible en mode passif uniquement. >J'ai donc configuré le démon ProFTPd avec la directive « PassivePo rts >50000 50500 » et ai débloqué les ports FTP comme suit : [...]
Pour du ftp c'est le module ip_conntrack_ftp. Est ce bien celui ci que vous utilisez ?
modprobe -c me donne, entre autres, les résultats suivants : alias ip_conntrack_ftp nf_conntrack_ftp alias ip_conntrack_tftp nf_conntrack_tftp alias nfct_helper_ftp nf_conntrack_ftp alias nfct_helper_tftp nf_conntrack_tftp alias symbol:nf_nat_ftp_hook nf_conntrack_ftp alias symbol:nf_nat_tftp_hook nf_conntrack_tftp
J'en déduis donc que le module utilisé est nf_conntrack_ftp, dont ip_conntrack_ftp est un alias ; me trompé-je ?
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Le mardi 24 juin 2014 à 17:30:35 +0200, daniel huhardeaux a écrit:
Le 24/06/2014 16:42, David Guyot a écrit :
>Salut, la liste.
Bonjour,
Bonjour.
>
>J'ai un problème étrange que voici : nous hébergeons un service FTP
>derrière un pare-feu, service FTP accessible en mode passif uniquement.
>J'ai donc configuré le démon ProFTPd avec la directive « PassivePo rts
>50000 50500 » et ai débloqué les ports FTP comme suit :
[...]
Pour du ftp c'est le module ip_conntrack_ftp. Est ce bien celui ci
que vous utilisez ?
modprobe -c me donne, entre autres, les résultats suivants :
alias ip_conntrack_ftp nf_conntrack_ftp
alias ip_conntrack_tftp nf_conntrack_tftp
alias nfct_helper_ftp nf_conntrack_ftp
alias nfct_helper_tftp nf_conntrack_tftp
alias symbol:nf_nat_ftp_hook nf_conntrack_ftp
alias symbol:nf_nat_tftp_hook nf_conntrack_tftp
J'en déduis donc que le module utilisé est nf_conntrack_ftp, dont
ip_conntrack_ftp est un alias ; me trompé-je ?
Merci d'avance.
Cordialement.
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53A9999B.1030303@tootai.net
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140625070525.GL4955@europecamions-interactive.com
Le mardi 24 juin 2014 à 17:30:35 +0200, daniel huhardeaux a écrit:
Le 24/06/2014 16:42, David Guyot a écrit : >Salut, la liste.
Bonjour,
Bonjour.
> >J'ai un problème étrange que voici : nous hébergeons un service FTP >derrière un pare-feu, service FTP accessible en mode passif uniquement. >J'ai donc configuré le démon ProFTPd avec la directive « PassivePo rts >50000 50500 » et ai débloqué les ports FTP comme suit : [...]
Pour du ftp c'est le module ip_conntrack_ftp. Est ce bien celui ci que vous utilisez ?
modprobe -c me donne, entre autres, les résultats suivants : alias ip_conntrack_ftp nf_conntrack_ftp alias ip_conntrack_tftp nf_conntrack_tftp alias nfct_helper_ftp nf_conntrack_ftp alias nfct_helper_tftp nf_conntrack_tftp alias symbol:nf_nat_ftp_hook nf_conntrack_ftp alias symbol:nf_nat_tftp_hook nf_conntrack_tftp
J'en déduis donc que le module utilisé est nf_conntrack_ftp, dont ip_conntrack_ftp est un alias ; me trompé-je ?
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pascal Hambourg
David Guyot a écrit :
J'en déduis donc que le module utilisé est nf_conntrack_ftp, dont ip_conntrack_ftp est un alias ; me trompé-je ?
Non, c'est correct. La connexion de commande est visiblement en clair, donc si le module est bien chargé ça devrait fonctionner. Comment le module est-il chargé ? Pas d'option ports= avec une valeur différente de 21 pour ce module dans /etc/modprobe.d/ ou /etc/modprobe.conf ?
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
David Guyot a écrit :
J'en déduis donc que le module utilisé est nf_conntrack_ftp, dont
ip_conntrack_ftp est un alias ; me trompé-je ?
Non, c'est correct.
La connexion de commande est visiblement en clair, donc si le module est
bien chargé ça devrait fonctionner. Comment le module est-il chargé ?
Pas d'option ports= avec une valeur différente de 21 pour ce module dans
/etc/modprobe.d/ ou /etc/modprobe.conf ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53AA9645.5050201@plouf.fr.eu.org
J'en déduis donc que le module utilisé est nf_conntrack_ftp, dont ip_conntrack_ftp est un alias ; me trompé-je ?
Non, c'est correct. La connexion de commande est visiblement en clair, donc si le module est bien chargé ça devrait fonctionner. Comment le module est-il chargé ? Pas d'option ports= avec une valeur différente de 21 pour ce module dans /etc/modprobe.d/ ou /etc/modprobe.conf ?
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53AA9645.5050201@plouf.fr.eu.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140625100328.GP4955@europecamions-interactive.com
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pascal Hambourg
David Guyot a écrit :
Le module n'apparaît pas dans la configuration de modprobe, ni d'ailleurs où que ce soit dans /etc et ses sous-dossiers
Alors je répète ma question : comment est-il chargé ? D'ailleurs, est-il chargé ? Ce n'est pas automatique. A vérifier avec lsmod.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
David Guyot a écrit :
Le module n'apparaît pas dans la configuration de modprobe, ni
d'ailleurs où que ce soit dans /etc et ses sous-dossiers
Alors je répète ma question : comment est-il chargé ? D'ailleurs, est-il
chargé ? Ce n'est pas automatique. A vérifier avec lsmod.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53AAA195.4060508@plouf.fr.eu.org
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53AAA195.4060508@plouf.fr.eu.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140625120559.GQ4955@europecamions-interactive.com
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">https://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140625131330.GU4955@europecamions-interactive.com