pureftpd et firewall

pureftpd et firewall - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 25-09-2003 à 22:14:13    

J'ai installé pureftpd en lieu et place de proftpd car apparemment pure est plus secure.
 
Je lance pureftpd comme ceci :  

/usr/local/sbin/pure-ftpd -A -E -b -B -c 5 -C 5 -H -k 95% -r -s -w -l puredb:/etc/pureftpd.pdb


Comme ceci et en ouvrant le proto ftp de mon firewall (que je gère avec guarddog) cela marche impec.
 
Maitenant si je lance comme ça :  

/usr/local/sbin/pure-ftpd -A -E -b -B -c 5 -C 5 -H -k 95% -r -s -w -S 10642 -l puredb:/etc/pureftpd.pdb


pour avoir un ftp sur port 10642 plutôt que 21, et que j'ouvre le port 10642 avec guarddog alors là ça ne marche plus. J'arrive à me connecter mais au moment du "list" ça déconnecte toujours.
 
Les modules  


ip_nat_ftp              4016   0  (unused)
iptable_nat            21016   1  [ip_nat_ftp]
ipt_state               1080  68  (autoclean)
ipt_REJECT              3768   4  (autoclean)
ipt_limit               1560   4  (autoclean)
ipt_LOG                 4280   4  (autoclean)
ip_conntrack_ftp        5200   1
ip_conntrack           27432   3  [ip_nat_ftp iptable_nat ipt_state ip_conntrack_ftp]
iptable_filter          2348   1  (autoclean)
ip_tables              14648   8  [iptable_nat ipt_state ipt_REJECT ipt_limit ipt_LOG iptable_filter]


sont chargés.
 
C'est où que j'ai faux ? Comment donc faire pour mettre un ftp sur un port autre que 21 ?
 
Merci de vos réponses.


Message édité par jotenakis le 25-09-2003 à 22:16:35

---------------
Jotenakis
Reply

Marsh Posté le 25-09-2003 à 22:14:13   

Reply

Marsh Posté le 25-09-2003 à 22:20:37    

Il me smeble qu'il faut preciser le numero des ports sur lesquels y a du ftp au moment de charger ip_conntrack_ftp.
 
dans le style modprobe ip_conntrack_ftp 10642

Reply

Marsh Posté le 25-09-2003 à 22:41:13    

marche pas non plus malheureusement...


---------------
Jotenakis
Reply

Marsh Posté le 25-09-2003 à 22:54:34    

Pourrais-tu préciser la situation exacte des services et machines ?
 
Est-ce-que c'est quelque chose comme ça :
 
(client FTP)---(firewall)---(internet)---(serveur FTP)
 
?
 
ou bien le firewall est plutôt avant le serveur ? Ou les deux sont sur le même réseau ?
 
Qu'est-ce-qui est NATé ? Le client ? Le serveur ?
 

Reply

Marsh Posté le 25-09-2003 à 23:00:06    

(client FTP)---(firewall de mon UNIVERSITE)---(internet)---(firewall perso)---(serveur FTP perso)  
 
Ma machine perso@home est seule et connectée via une ligne adsl.


Message édité par jotenakis le 25-09-2003 à 23:03:32

---------------
Jotenakis
Reply

Marsh Posté le 25-09-2003 à 23:20:25    

il ne faudrait pas ajouter le port 10641 pour le data-ftp ?

Reply

Marsh Posté le 25-09-2003 à 23:42:01    

Citation :

How does FTP effect Firewall Rules?
 
 
For firewalls, the trouble with FTP starts as the file is transmitted. One would assume that the server will send the file from its port 21 to the remote port from which the client connects, similar to the way web pages are sent by the web server. One would assume wrong.  
 
 
Instead, the FTP server will establish a secondary TCP connection. The server will use its port 20 (ftp-data) to connect to the client. According to the specs, the same data connection should be reused for consecutive transfers. However, clients usually pick new ports at random for each connection. This is a work around to avoid a problem many TCP stacks have in closing ports in a timely fashion.  
 
 
For the firewall, the problem is that data connection appear as incoming connections. "Good" firewalls are set up to reject these connections.  
 
 
Luckily, people that write FTP clients and servers thought about this. The scenario above is usually refered to as "active FTP". The firewall friendly version is usually refered to as "passive FTP". (PASV) In passive mode, the server will open a second port and inform the client of the port number. The client will now establish a second outgoing connection to retreive data from this port.  
 
 
Now, this is not everything there is to know about FTP. There are a couple other "quirks". Many server are using multiple IP addresses. As a result, the data connection may appear to originate from a different IP address than the control connection. (Which means fighting with your firewall again.)  


 
http://www.dshield.org/ports/port21.php
Je ne sais pas si cela peut t'aider.


Message édité par Sagittarius le 25-09-2003 à 23:44:30
Reply

Marsh Posté le 26-09-2003 à 12:05:16    

jotenakis a écrit :

(client FTP)---(firewall de mon UNIVERSITE)---(internet)---(firewall perso)---(serveur FTP perso)  
 
Ma machine perso@home est seule et connectée via une ligne adsl.


 
Si le firewall de ta fac n'est pas spécialement configuré pour accepter le protocole FTP sur un autre port que le 21, c'est mort.

Reply

Marsh Posté le 26-09-2003 à 12:29:22    

lsof -i pour verifier quil tourne bien sur le port que tu lui indique
tente en local de ty connecter
et apres tente de l'exterieur
tout ça pour cibler ou est vraiment le probleme

Reply

Marsh Posté le 26-09-2003 à 14:47:12    

axey a écrit :


 
Si le firewall de ta fac n'est pas spécialement configuré pour accepter le protocole FTP sur un autre port que le 21, c'est mort.


OK ce doit être ça... :sweat:


Message édité par jotenakis le 26-09-2003 à 14:47:33

---------------
Jotenakis
Reply

Marsh Posté le 26-09-2003 à 14:47:12   

Reply

Marsh Posté le 26-09-2003 à 14:48:55    

alors met le sur le port 21 :)

Reply

Marsh Posté le 26-09-2003 à 15:14:08    

bah c'est ce que je fais pour le moment.
 
MAIS après vérification il s'avère que lorsque je desactive totalement MON firewall, mon ftp marche. C'est donc un pb du à MON firewall !


---------------
Jotenakis
Reply

Marsh Posté le 26-09-2003 à 17:09:10    

As-tu ouvert un seul port ou plusieurs en remplacement du port habituel, car sauf erreur ftp fonctionne ainsi :  
 
ftp-data         20/tcp    File Transfer [Default Data]
ftp-data         20/udp    File Transfer [Default Data]
ftp              21/tcp    File Transfer [Control]
ftp              21/udp    File Transfer [Control]
 
Peut-être qu'avec Guarddog, faut-il forcer l'ouverture de 20/tcp et 20/udp ?

Reply

Marsh Posté le 26-09-2003 à 17:24:26    

ou alors tajoute une regle state genre -m state --state ESTABLISHED,RELATED -j accept a la fin de ton input
comme ça tout ce qui sera en rapport avec le port ouvert de ton ftp sera accepté. parceque non seulement ya le port de donnée et de commande, mais ya aussi des ports elevés pour le transfert

Reply

Marsh Posté le 26-09-2003 à 20:27:57    

Non inutile d'ouvrir le port 20, aucun client ne se connectera dessus. C'est un port source, pas destination.
 
Il faut ouvrir le port 21 et tous les ports > 1023.

Reply

Marsh Posté le 26-09-2003 à 20:28:23    

Et en TCP ça suffit, pas d'UDP.

Reply

Marsh Posté le 26-09-2003 à 21:12:57    

axey a écrit :

Non inutile d'ouvrir le port 20, aucun client ne se connectera dessus. C'est un port source, pas destination.
 
Il faut ouvrir le port 21 et tous les ports > 1023.


dans le cadre d'une connexion en mode actif , le port 20 de doit pas etre ouvert ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed