slt,
 
j'ai besoin d'un petit cours.
 
voilà un log:
Jan 15 17:16:01 localhost IN=eth0 OUT= MAC=00:0c:6e:eb:8a:06:00:07:cb:06:54:2c:08:00  SRC=213.186.33.14 DST=82.254.126.79 LEN=52 TOS=00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=21 DPT=40317 SEQ=163706256 ACK=1162901236 WINDOW=5792 ACK URGP=0  
 
correspondant à cette règle
 
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state NEW,ESTABLISHED -j ULOG
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
je log les connexions sur mon serveur FTP, par contre j'ai du mal avec l'interpretation,  
DST=82.254.126.79 je pense que c'est moi qui suit la destination ;-)
par contre
SPT=21 DPT=40317 par contre la je comprends plus, la connexion devrait arriver sur le port 21 de ma machine, ou alors source et destination en changées de sens ??
ACK=1162901236 je pensais que ACK ne pouvait avoir que 0 ou 1 comme valeur?
 
vos lumières sont les biens venues.
 
et pour ceux qui sont courageux:
 
# ftp
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state NEW,ESTABLISHED -j ULOG
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
#FTP passif
iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
Voilà mes règles pour FTP et ma soeur n'arrive pas à se connecter à mon micro?

As tu chargé le modules ftp pour conntrack ?

lsmod |grep ftp
ip_nat_ftp              2272  0
iptable_nat            19068  3 ipt_MASQUERADE,ip_nat_ftp
ip_conntrack_ftp       71344  1 ip_nat_ftp
ip_conntrack           37400  5 ipt_MASQUERADE,ipt_state,ip_nat_ftp,iptable_nat,ip_conntrack_ftp

ftp est spécial, selon le  mode actif ou passif du client c'est le serveur ou le client qui va fournir le port pour le transfert des données. C'est le protocole ftp que tu dois étudier.

j'ai qque peu modifier mes règles mais c'est tjs pas ça:
 
# ftp
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ULOG
iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --dport 21 -m state --state NEW -j ULOG
iptables -A INPUT -i eth0 --protocol tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
#FTP passif
iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
pour le mode je privilégie le passif.
 
donc si j'ai bien compris: j'accepte les demandes de connexion sur le port 21
 
iptables -A INPUT -i eth0 --protocol tcp --dport 21 -m state --state NEW -j ACCEPT
 
je permet la reponse:
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
 
une fois le n° de port client transmis je permet le dialogue avec des ports qui s'ouvrent grace à RELATED
 
#FTP passif
iptables -A INPUT  -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
je vois pas ou mon raisonnement cloche??