toutes mes connexions ftp ne marchent pas (iptables)!
3 réponses
Brice
Bonjour
j'ai récemment mis en place sur mon pc un script iptables j'ai donc tout
bloqué par défaut et ensuite ouvert quelques port donc je me sers
(gtk-gnutella par exemple). Toutes les connexions sortantes sont
acceptées et toutes celles entrantes relatives à des connexions établies
le sont aussi. Par contre je n'arrive plus à faire de ftp! je peux me
connecter sur le serveur mais quand je veux lister le contenu du
répertoire, rien ne se passe et ça fini par un timeout:
ftp> ls
200 PORT command successful
425 Could not open data connection to port 32789: Operation timed out
ftp>
Comment est-ce que je peux régler ça?
Merci
--
Brice
Debian testing (Linux user nb. 372699)
-----
"Unix IS user friendly, it is just selective about who his friends are"
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal
Salut,
j'ai récemment mis en place sur mon pc un script iptables j'ai donc tout bloqué par défaut et ensuite ouvert quelques port donc je me sers (gtk-gnutella par exemple). Toutes les connexions sortantes sont acceptées et toutes celles entrantes relatives à des connexions établies le sont aussi. Par contre je n'arrive plus à faire de ftp! je peux me connecter sur le serveur mais quand je veux lister le contenu du répertoire, rien ne se passe et ça fini par un timeout:
ftp> ls 200 PORT command successful 425 Could not open data connection to port 32789: Operation timed out
Le module de suivi des connexions FTP ip_conntrack_ftp est-il chargé ? A vérifier avec lsmod.
D'autre part, ce time-out me fait soupçonner que les connexions entrantes inattendues sont traitées par DROP au lieu de REJECT. C'est mal.
Comment est-ce que je peux régler ça?
modprobe ip_conntrack_ftp
Sinon, sur le client FTP basculer en mode FTP passif qui n'utilise que des connexions sortantes pour le transfert de données (listage de répertoires et transfert de fichiers).
Salut,
j'ai récemment mis en place sur mon pc un script iptables j'ai donc tout
bloqué par défaut et ensuite ouvert quelques port donc je me sers
(gtk-gnutella par exemple). Toutes les connexions sortantes sont
acceptées et toutes celles entrantes relatives à des connexions établies
le sont aussi. Par contre je n'arrive plus à faire de ftp! je peux me
connecter sur le serveur mais quand je veux lister le contenu du
répertoire, rien ne se passe et ça fini par un timeout:
ftp> ls
200 PORT command successful
425 Could not open data connection to port 32789: Operation timed out
Le module de suivi des connexions FTP ip_conntrack_ftp est-il chargé ? A
vérifier avec lsmod.
D'autre part, ce time-out me fait soupçonner que les connexions
entrantes inattendues sont traitées par DROP au lieu de REJECT. C'est mal.
Comment est-ce que je peux régler ça?
modprobe ip_conntrack_ftp
Sinon, sur le client FTP basculer en mode FTP passif qui n'utilise que
des connexions sortantes pour le transfert de données (listage de
répertoires et transfert de fichiers).
j'ai récemment mis en place sur mon pc un script iptables j'ai donc tout bloqué par défaut et ensuite ouvert quelques port donc je me sers (gtk-gnutella par exemple). Toutes les connexions sortantes sont acceptées et toutes celles entrantes relatives à des connexions établies le sont aussi. Par contre je n'arrive plus à faire de ftp! je peux me connecter sur le serveur mais quand je veux lister le contenu du répertoire, rien ne se passe et ça fini par un timeout:
ftp> ls 200 PORT command successful 425 Could not open data connection to port 32789: Operation timed out
Le module de suivi des connexions FTP ip_conntrack_ftp est-il chargé ? A vérifier avec lsmod.
D'autre part, ce time-out me fait soupçonner que les connexions entrantes inattendues sont traitées par DROP au lieu de REJECT. C'est mal.
Comment est-ce que je peux régler ça?
modprobe ip_conntrack_ftp
Sinon, sur le client FTP basculer en mode FTP passif qui n'utilise que des connexions sortantes pour le transfert de données (listage de répertoires et transfert de fichiers).
Brice
On 2005-08-04, wrote:
Salut,
ftp> ls 200 PORT command successful 425 Could not open data connection to port 32789: Operation timed out
Le module de suivi des connexions FTP ip_conntrack_ftp est-il chargé ? A vérifier avec lsmod.
D'autre part, ce time-out me fait soupçonner que les connexions entrantes inattendues sont traitées par DROP au lieu de REJECT. C'est mal.
Pourquoi c'est mal??
Comment est-ce que je peux régler ça?
modprobe ip_conntrack_ftp
merci ça marche!! comment est-ce que je peut faire pour qu'il soit chargé au démarrage en utilisant mon script iptables? je veux dire en faisant une règle iptables au lieu d'un modprobe dans le script?
-- Brice Debian testing (Linux user nb. 372699) ----- "Unix IS user friendly, it is just selective about who his friends are"
On 2005-08-04, Pascal@plouf <pascal@plouf.invalid> wrote:
Salut,
ftp> ls
200 PORT command successful
425 Could not open data connection to port 32789: Operation timed out
Le module de suivi des connexions FTP ip_conntrack_ftp est-il chargé ? A
vérifier avec lsmod.
D'autre part, ce time-out me fait soupçonner que les connexions
entrantes inattendues sont traitées par DROP au lieu de REJECT. C'est mal.
Pourquoi c'est mal??
Comment est-ce que je peux régler ça?
modprobe ip_conntrack_ftp
merci ça marche!! comment est-ce que je peut faire pour qu'il soit
chargé au démarrage en utilisant mon script iptables? je veux dire en
faisant une règle iptables au lieu d'un modprobe dans le script?
--
Brice
Debian testing (Linux user nb. 372699)
-----
"Unix IS user friendly, it is just selective about who his friends are"
ftp> ls 200 PORT command successful 425 Could not open data connection to port 32789: Operation timed out
Le module de suivi des connexions FTP ip_conntrack_ftp est-il chargé ? A vérifier avec lsmod.
D'autre part, ce time-out me fait soupçonner que les connexions entrantes inattendues sont traitées par DROP au lieu de REJECT. C'est mal.
Pourquoi c'est mal??
Comment est-ce que je peux régler ça?
modprobe ip_conntrack_ftp
merci ça marche!! comment est-ce que je peut faire pour qu'il soit chargé au démarrage en utilisant mon script iptables? je veux dire en faisant une règle iptables au lieu d'un modprobe dans le script?
-- Brice Debian testing (Linux user nb. 372699) ----- "Unix IS user friendly, it is just selective about who his friends are"
Pascal
ftp> ls 200 PORT command successful 425 Could not open data connection to port 32789: Operation timed out
Le module de suivi des connexions FTP ip_conntrack_ftp est-il chargé ? A vérifier avec lsmod.
D'autre part, ce time-out me fait soupçonner que les connexions entrantes inattendues sont traitées par DROP au lieu de REJECT. C'est mal.
Pourquoi c'est mal??
Cela viole les RFC : un port TCP fermé doit répondre par un TCP RST ou un ICMP "port unreachable". Tu as pu constater une conséquence du DROP : le délai avant abandon. Avec REJECT le demandeur est averti immédiatement, ça évite d'attendre le time-out pour absence de réponse.
Comment est-ce que je peux régler ça?
modprobe ip_conntrack_ftp
merci ça marche!! comment est-ce que je peut faire pour qu'il soit chargé au démarrage en utilisant mon script iptables? je veux dire en faisant une règle iptables au lieu d'un modprobe dans le script?
Contrairement à d'autres modules de Netfilter, on ne peut pas le charger automatiquement avec une règle iptables car aucune cible ou concordance ne dépend de lui. Par contre on peut faire en sorte qu'il soit chargé automatiquement au démarrage du système comme les modules pilotes de périphériques. La procédure dépend de la distribution. Sous Debian (si j'en crois tes en-têtes), l'utilitaire modconf permet de sélectionner les modules à charger automatiquement. Tu peux aussi l'ajouter directement dans /etc/modules (ce que fait modconf en plus de charger le module immédiatement).
Si tu dois utiliser des serveurs FTP écoutant sur d'autres ports que 21, il faut le préciser au module avec le paramètre ports!,<autre_port>,<autre_port>...
ftp> ls
200 PORT command successful
425 Could not open data connection to port 32789: Operation timed out
Le module de suivi des connexions FTP ip_conntrack_ftp est-il chargé ? A
vérifier avec lsmod.
D'autre part, ce time-out me fait soupçonner que les connexions
entrantes inattendues sont traitées par DROP au lieu de REJECT. C'est mal.
Pourquoi c'est mal??
Cela viole les RFC : un port TCP fermé doit répondre par un TCP RST ou
un ICMP "port unreachable". Tu as pu constater une conséquence du DROP :
le délai avant abandon. Avec REJECT le demandeur est averti
immédiatement, ça évite d'attendre le time-out pour absence de réponse.
Comment est-ce que je peux régler ça?
modprobe ip_conntrack_ftp
merci ça marche!! comment est-ce que je peut faire pour qu'il soit
chargé au démarrage en utilisant mon script iptables? je veux dire en
faisant une règle iptables au lieu d'un modprobe dans le script?
Contrairement à d'autres modules de Netfilter, on ne peut pas le charger
automatiquement avec une règle iptables car aucune cible ou concordance
ne dépend de lui. Par contre on peut faire en sorte qu'il soit chargé
automatiquement au démarrage du système comme les modules pilotes de
périphériques. La procédure dépend de la distribution. Sous Debian (si
j'en crois tes en-têtes), l'utilitaire modconf permet de sélectionner
les modules à charger automatiquement. Tu peux aussi l'ajouter
directement dans /etc/modules (ce que fait modconf en plus de charger le
module immédiatement).
Si tu dois utiliser des serveurs FTP écoutant sur d'autres ports que 21,
il faut le préciser au module avec le paramètre
ports!,<autre_port>,<autre_port>...
ftp> ls 200 PORT command successful 425 Could not open data connection to port 32789: Operation timed out
Le module de suivi des connexions FTP ip_conntrack_ftp est-il chargé ? A vérifier avec lsmod.
D'autre part, ce time-out me fait soupçonner que les connexions entrantes inattendues sont traitées par DROP au lieu de REJECT. C'est mal.
Pourquoi c'est mal??
Cela viole les RFC : un port TCP fermé doit répondre par un TCP RST ou un ICMP "port unreachable". Tu as pu constater une conséquence du DROP : le délai avant abandon. Avec REJECT le demandeur est averti immédiatement, ça évite d'attendre le time-out pour absence de réponse.
Comment est-ce que je peux régler ça?
modprobe ip_conntrack_ftp
merci ça marche!! comment est-ce que je peut faire pour qu'il soit chargé au démarrage en utilisant mon script iptables? je veux dire en faisant une règle iptables au lieu d'un modprobe dans le script?
Contrairement à d'autres modules de Netfilter, on ne peut pas le charger automatiquement avec une règle iptables car aucune cible ou concordance ne dépend de lui. Par contre on peut faire en sorte qu'il soit chargé automatiquement au démarrage du système comme les modules pilotes de périphériques. La procédure dépend de la distribution. Sous Debian (si j'en crois tes en-têtes), l'utilitaire modconf permet de sélectionner les modules à charger automatiquement. Tu peux aussi l'ajouter directement dans /etc/modules (ce que fait modconf en plus de charger le module immédiatement).
Si tu dois utiliser des serveurs FTP écoutant sur d'autres ports que 21, il faut le préciser au module avec le paramètre ports!,<autre_port>,<autre_port>...
