Salut,  
 
Que pensez-vous de cette regle iptables ?
 
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
Elle est indiqué sur beaucoup de sites pour faire du ftp. Mais ca pose pas un pb de securite ? Parce que quand cette regle est active je peux faire un telnet xxx.xxx.xxx.xxx 3306 sur un ip publique par ex. Alors que je devrais pas pouvoir vu les regles que j'ai appliqué (iptables -A ... DROP par defaut et ouverture au cas par cas)
 
Je pensais que la regle s'appliquait seulement si celle la etait verifiee :
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
Je comprends pas tout la ...
 
Ah oui sinon j'ai un serv ftp sur ma machine, le port est bloque (personne peut se connecter) par contre nmap voit le port 21 ouvert
 
Si quelqu'un peut m'eclairer
 
Merci.

Si tu mets ta regle, autant laissé tombé iptables et le fw, tu ouvres  tout.
Pour le ftp, active le module ip_conntrack_ftp, tu accepte les requetes a destination du port 20, et tu fais un established pour le retour. tout ça avec un serveur ftp en passif.

 
kler tous les ports sont ouverts en sortie !!!

 
Ouais c'est bien ce que je pensais ...
 
Heu et ca donnerait quoi au final comme regles ? J'ai a un peu de mal avec les state ...
 
Merci

Bon je v prendre le contre-pieds de tout le monde mais tu n'a aucune crainte a avoir avec cette regle, elle laisse juste passer les connexions qui ont deja etaient etablies.
 
Il faut donc mettre cette regle est ensuite ouvrir les à ports autoriser.
 
Par ex pour le ftp :
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
 
et tu n'auras plus de pbs de connexions ...
 
A+

 
oue c vrai, mais autant utiliser le coontrack pour le ftp, ki est fait pour
 
sinon, ca veut dire aussi k un logiciel malveillant ki se connecte su un port autorise, peut ensuite se connecter sur un port non autorise a la base

Bon voila mon script tel qu'il est maintenant :
La je ne peux pas faire de ftp, par contre lynx y arrive lui, il est bien ce petit
 

 
Voila, vous en pensez quoi ? (question recuurente il est vrai mais bon, google lui ne dit pas si c'est bien ou pas )
 
Merci.

moi y'a quand meme un truc que je capte pas mais alors pas du tout c que tu ouvres les ports 1024 a 65535 bon je comprends en plus tu ne les ouvre que paquets que t'as demande mais c stupide parce que les servers ftp qui marchent en mode passif peuvent etre configurer pour utiliser que certains ports je m'explique. avec pureftpd tu peux declarer les ports que devra utiliser le serveur si il fonctionne en mode passif et donc ca t'evite d'ouvre 65000 ports lol
 
@++

Heu j'ai mis en commentaires certaines lignes
 
Mais c'est vrai que ces histoires de ftp j'ai pas tout capté

tu peux m expliquer ces lignes stp :
 
 

 
car tu autorise le traffic entrant sur les port 80 21 20 et 443, et aussi le suivi de connexions deja etablies
donc si tu recois un connexion sur le port 80 elle est acceptee, et donc pas besoin d ouvrir le port 80 en sortie nan ??
 

Exact, une erreur d'inattention, merci

bon je continue la lecture de ton script alors

 
bon je lis petit bout par petit bout car c long

C'est pour ca qu'il faut que je modifie
Tu sais si on peut specifier une fichier avec une liste d'ip ??

oui on peut
 
tu as lu mes dernieres remarques ??

Oui oui mais on m'a menti depuis le debut alors

Mais si y'a qu'un forward la passerelle peut plus surfer ...

de koi tu parles ??

iptables -A INPUT -i ppp0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT  
iptables -A INPUT -i ppp0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT  
deja autorise par la regle qui ouvre tous les ports depuis le LAN
 
edit : viens sur irc, irc.quakenet.eu.org #-army- ce sera plus simple

 
je vais miam miam, et j essai apres de venir sur irc (c po sur a cause de mon proxy )

Apres je suis au boulot donc plus d'irc sauf si je remets cgiirc sur ma paserelle
 
edit : pour la liste d'ip on fait comment ?

 
bon on va continuer sur le forum alors
 
pour la liste je sais po, fo lire le man

 
 
Pour se connecter sur un autre port il faudra qu il etablisse une nouvelle connexion ... donc ...
 
A+

les connexions establish permettent de changer de port
 
 
enfin je crois

Wow !
tu viens dans ce cas de decouvrir le + gros bug sur tout les firewall de la planete alors ...
 
A+

Donc au final comment je peux faire pour faire du ftp sans utiliser ces 2 règles ?

ip_conntrack pour le ftp

Oui mais avec quelle regles avec ? Car j'ai deja charge ce module ...

ca je sais po j ai jamais utilise
 
man

sinon y'a pas une règle d'ordre des règles ?
 
Si tu met celle là en premier, faut mettre tt les règles plus spécifique après..;sinon, tt ce que t'a écris avant sert à rien...

tu charges le ip_contrack_ftp
 
et tu mets cet regle:
iptables -A INPUT -i eth0 --protocol tcp --destination-port 20:21 -j ACCEPT
 
 
et il faut qu'il y est un:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
qui traines qques part
 
et c'est tout

[mode lourdingue ]  
et en sortie ??

c fé automatiquement par iptable grace a established