Firewall + Connection passive FTP

[Dorian Gray]

Bonjour,

Malgrès mes différentes recherches sur la toile, je n'arrive pas à configurer mon script Netfilter afin qu'il laisse passer les utilisateurs (du lan vert) qui souhaitent accèder à un serveur ftp (que je n'administre pas) qui est configuré pour se connecter en mode ftp passif.

voici mon une partie script ainsi qu'un état des modules lancés

Code: Tout sélectionner

modprobe ip_conntrack_ftp 
modprobe ip_nat_ftp


red=eth2
green=eth0
blue=eth1


#Protocoles
http=80,81,8080
https=443
ftp=20,21
ftps=989
pop=110
imap=143,220
imaps=993
smtp=25,2525
time=123,37,119
pxe=67
snmp=161
epmap=135
isakmp=500
ldap=389,636,3268,3269
dns=53
cifs=445,901
kerberos=88
wins=1512,42



# GREEN -> RED
iptables -A CUSTOMFORWARD -i $green -o $red -j DROP
iptables -I CUSTOMFORWARD -i $green -o $red -p tcp -m multiport --dports $http,$https -j ACCEPT
iptables -I CUSTOMFORWARD -i $green -o $red -p tcp -m multiport --dports $ftp,$ftps -j ACCEPT
iptables -I CUSTOMFORWARD -i $green -o $red -p udp -m multiport --dports $ftp,$ftps -j ACCEPT
iptables -I CUSTOMFORWARD -i $green -o $red -p tcp -m multiport --dports $pop,$imap,$imaps,$smtp -j ACCEPT
iptables -I CUSTOMFORWARD -i $green -o $red -p tcp -m multiport --dports $time -j ACCEPT
iptables -I CUSTOMFORWARD --protocol tcp --destination-port $ftp -j ACCEPT
iptables -I CUSTOMFORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I CUSTOMFORWARD -i $green -o $red -p icmp -j ACCEPT

......


Liste des modules lancés

Code: Tout sélectionner

Module                  Size  Used by    Not tainted
ipt_REDIRECT             696   1  (autoclean)
ipsec_twofish          35332   0  (unused)
ipsec_sha2              7800   0  (unused)
ipsec_sha1             18488   2
ipsec_serpent          11076   0  (unused)
ipsec_md5               4440   0  (unused)
ipsec_cast             15748   0  (unused)
ipsec_blowfish          8420   0  (unused)
ipsec_aes              31624   2
ipsec_3des             17052   0  (unused)
ipsec                 255300   2  [ipsec_twofish ipsec_sha2 ipsec_sha1 ipsec_serpent ipsec_md5 ipsec_cast ipsec_blowfish ipsec_aes ipsec_3des]
ipt_MASQUERADE          1272   1  (autoclean)
ipt_multiport            600  12  (autoclean)
ip_nat_ftp              2448   0  (unused)
ip_conntrack_ftp        3568   1
ipt_mark                 440   2  (autoclean)
ipt_TCPMSS              2168   1  (autoclean)
ipt_state                504  16  (autoclean)
ipt_REJECT              2968   1  (autoclean)
ipt_LOG                 3616   9  (autoclean)
ipt_limit                792   9  (autoclean)
iptable_mangle          2008   1  (autoclean)
iptable_filter          1612   1  (autoclean)
8139too                13128   3
mii                     2112   0  [8139too]
crc32                   2880   0  [8139too]
ip_nat_quake3           1800   0  (unused)
ip_conntrack_quake3     1896   1
ip_nat_proto_gre        1092   0  (unused)
ip_nat_pptp             2148   0  (unused)
ip_conntrack_pptp       2601   1
ip_conntrack_proto_gre    1973   0  [ip_nat_pptp ip_conntrack_pptp]
ip_nat_mms              2672   0  (unused)
ip_conntrack_mms        2832   1
ip_nat_irc              1968   0  (unused)
ip_conntrack_irc        2768   1
ip_nat_h323             2372   0  (unused)
ip_conntrack_h323       2153   1
iptable_nat            15878   8  [ipt_REDIRECT ipt_MASQUERADE ip_nat_ftp ip_nat_quake3 ip_nat_proto_gre ip_nat_pptp ip_nat_mms ip_nat_irc ip_nat_h323]
ip_conntrack           18928   7  [ipt_REDIRECT ipt_MASQUERADE ip_nat_ftp ip_conntrack_ftp ipt_state ip_nat_quake3 ip_conntrack_quake3 ip_nat_pptp ip_conntrack_pptp ip_conntrack_proto_gre ip_nat_mms ip_conntrack_mms ip_nat_irc ip_conntrack_irc ip_nat_h323 ip_conntrack_h323 iptable_nat]
ip_tables              10976  14  [ipt_REDIRECT ipt_MASQUERADE ipt_multiport ipt_mark ipt_TCPMSS ipt_state ipt_REJECT ipt_LOG ipt_limit iptable_mangle iptable_filter iptable_nat]
acm                     5120   0  (unused)
keybdev                 1764   0  (unused)
hid                    19908   0  (unused)
input                   3104   0  [keybdev hid]
sd_mod                 10284   0  (unused)
usb-storage            24624   0  (unused)
scsi_mod               52920   1  [sd_mod usb-storage]
usb-uhci               20528   0  (unused)
usbcore                56236   1  [acm hid usb-storage usb-uhci]
apm                     8644   0


[ccnet]

Script Netfilter et ipcop ? Il n'y aurait pas une erreur dans le choix du forum ?

[Dorian Gray]

Peut être, ça concerne quand mm la distro. Je n'ai pas trouvé d'autres endroit, mais j'ai surment du le louper. So j'attends tes lumières sur le bon forum ou sur mon soucis.
Il s'agit d'un script lancé au démarrage de mon ipcop
( dans le fichier /etc/rc.firewall.local )

[ccnet]

Une recherche sur le forum ipcop avec ftp passif donne une soixantaine de réponses.
Sinon donner des informations précises sur la configuration avec laquelle on rencontre le problème n'est pas inutile, en particulier les addons. C'est même indispensable.

[Dorian Gray]

J'ai commencé par ça avant de poster . J' ai parcouru certain d'autres que je n'ai pas lu, rien concernant mon soucis, car je n'ai pas de serveur ftp dans une DMZ, j'utilise un IPCOP et je n'utilise pas de BOT...

Ce que je veux, c'est bloquer tout sauf http, https, ftp, ftps, pop, imap, imaps, smtp, réglage horloge pour mes utilisateurs.
J'ai réussi globalement, sauf pour les connections FTP Passives.

Ma configuration :
Ipcop 1.4.18
Config : RED + BLUE + GREEN

Add On :
ipcop-urlfilter-1.9.3, proxy mode transparent activé sur green
ZERINA-0.9.5b

ps : je viens en paix.

[ccnet]

Je déduis une chose de votre réponse et vous me corrigerez si je fais erreur.

Config : RED + BLUE + GREEN

Donc pas de dmz et pas de serveur interne qui soit accessible de l'extérieur.

c'est bloquer tout sauf http, https, ftp, ftps, pop, imap, imaps, smtp, réglage horloge pour mes utilisateurs.

Il s'agit donc de traffic sortant, c'est à dire de Green vers internet.

Donc vous devez (indispensable à mon avis) filtrer le trafic sortant avec BOT, or je ne le vois pas dans la liste de vos addons installés. Je fais erreur ?

[Dorian Gray]

exact, pas de dmz, pas de bot.
Je ne pensais pas que le bot était nécessaire pour le peu de filtrage que je souhaitais. Apparament cet add on a l'air vraiment complet, je vais l'installer aujourd'hui et tester tout ça.

Merci

[ccnet]

exact, pas de dmz, pas de bot.
Je ne pensais pas que le bot était nécessaire pour le peu de filtrage que je souhaitais.
Merci

Ne perdez pas de vue qu'IPCOP est totalement ouvert dans le sens Lan (et dmz)-> Internet. Oubliez pour le moment le script complémentaire et essayez d'exploiter BOT. Bon courage pour la suite.

[Dorian Gray]

Le soucis était dans le proxy, après réinstallation et activation en mode transparent, mon script fonctionnne ftp passif, mais c'est une perte de temps.

En effet le bot est complet et simplifie l'utilisation.

Vive le BOT et merci des conseils