[linux-leman] iptables & ip_conntrack
briner
briner at infomaniak.ch
Thu May 8 11:00:02 CEST 2003
Bon mon ptit gars,
j'ai pas pu repondre a toutes tes questions.alors voila les reponses
pour les questions:3,4
> le probleme du moment est de permettre a mes utilisateurs d'utiliser
> ftp. Que ce soit en mode Passif ou en mode Actif. ncftp permet de
> choisir le type de ftp, mais lorsque je passe en mode passif (donc a ce
> moment c'est le serveur distant qui lance la connexion), mon filtre a
> tendance a trop filtrer.
>
> morceau de:
> iptables-restore----------debut
> #FTP the port 20(ftp-data) 21(ftp) openned for a Internal->External ftp client(internal)
> -A INPUT -p tcp -m tcp --sport ftp -m state --state ESTABLISHED -j ACCEPT
> -A OUTPUT -p tcp -m tcp --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
> #active FTP
> -A INPUT -p tcp -m tcp --sport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A OUTPUT -p tcp -m tcp --dport ftp-data -m state --state ESTABLISHED -j ACCEPT
> #passive FTP
> -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
> -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables-restore----------fin
> 3) ca vous semble correct?
tout a fait correct, mais il faut s'assurer d'avoir les modules du
noyau:
- ip_tables
- ip_conntrack
- ip_conntrack_ftp <--- et c'est justement
celui la qui faisait defaut!
> alors je me suis dit que peut-etre ip_conntrack ne fonctionnait pas dans
> le cas ou je demarrais mon ncftp en actif..faisait deux trois commandes
> pour teste puis passait en mode passif..
> 4) je delire ou ca pourrait en etre la raison:Oui/Non?
C'est pas du delire mais de la folie pur!
je viens tout juste de faire des tests et ca marche perfecto!
briner
More information about the gull
mailing list