BlockOutTraffic et accès FTP

par **negz** » 14 Juin 2007 11:17

Hello

j'ai suivi la doc de BlockOutTraffic pour les règles / les groupes de services / les groupes d'adresses etc... ça marche j'ai testé c'est nikel, j'adore ipcop et ses plugins :mrgreen:

je me suis rajouté une règle pour que seulement les admins du réseau (groupe contenant 2 adresses MAC) puissent avoir accès aux FTP.

sans cette règle, je ne peux meme pas dialoguer avec le serveur FTP.

Quand je rajoute cette règle je m'y connecte mais ça bloque au moment du "LIST" pour afficher le contenu de mon serveur FTP (sur ftpperso.free.fr)

Etat : Connexion à ftpperso.free.fr ...
Etat : Connecté à ftpperso.free.fr. Attente du message d'accueil...
Réponse : 220 Serveur de mise a jour des pages perso de Free.fr version [Feb 11 2007 20:22:14]
Commande : USER xxxxxx
Réponse : 331 Password required for flasheur.
Commande : PASS ********
Réponse : 230 User xxxxxx logged in.
Commande : SYST
Réponse : 215 UNIX Type: L8
Commande : FEAT
Réponse : 500 'FEAT': command unrecognized.
Etat : Connecté
Etat : Récupération de la liste de répertoires...
Commande : PWD
Réponse : 257 "/" is current directory.
Commande : TYPE A
Réponse : 200 Type set to A
Commande : PASV
Réponse : 227 Entering Passive Mode (212,27,63,3,183,32).
Commande : LIST
Réponse : 150 Opening ASCII mode data connection for file list

puis plus rien....

vous avez pas une idée sur ce qu'il pourrait bloquer encore ?

merci :wink:

par **m2nis** » 15 Juin 2007 07:56

negz a écrit:vous avez pas une idée sur ce qu'il pourrait bloquer encore ?

A première vue, je dirais que c'est parce que vous avez ouvert le port 21 mais pas le port 20.

par **Poupou94** » 15 Juin 2007 09:10

Bonjour,

Ce serait vrai, le port 20, si il n'y avait pas la commande PASV juste avant le LIST il faut aussi ouvrir les ports au dessus de 1024.

Pascal.

par **negz** » 15 Juin 2007 10:43

je doit ouvrir tous les ports du 1024 au 65536 ?? :shock:

dans ce cas là BOT ne sert plus a rien

par **negz** » 15 Juin 2007 14:34

en fait c'était le mode passif. Quand je décoche "mode passif" dans FileZilla ça marche

par **m2nis** » 15 Juin 2007 15:15

Poupou94 a écrit:Ce serait vrai, le port 20, si il n'y avait pas la commande PASV juste avant le LIST il faut aussi ouvrir les ports au dessus de 1024.

Sur connexion établie. Ca pourrait être ça. Une case à cocher dans la configuration générale de BOT... et qui ne lui enlève rien, rassurez-vous, negz. ;-)

par **igo** » 18 Juin 2007 13:30

http://forums.ixus.fr/viewtopic.php?t=3 ... ftp+passif

sujet non résolu

par **Poupou94** » 18 Juin 2007 14:06

Bonjour,

Pour ma connaissance personnelle la coche connexion établie cela autorise quoi exactement ?
Autrement je ne vois ce qu'il y a de dangereux à ouvrir dans le sens sortant des connexions vers une machine sur laquelle on veut accéder en ftp. Ce qui est moins dangereux que d'ouvrir le port ftp data dans le sens entrant.

Pascal.

par **Poupou94** » 18 Juin 2007 14:58

je me suis fait ma propre réponse
La coche ajoute deux règles de type RELATED et ESTABLISHED sur BOT_INPUT et BOT_FORWARD ce qui comme le dit M2nis doit largement suffire pour les connexions passives de FTP.

Pour Igo, je ne pense pas qu'il soit prévu de créer une connexion ftp sur un port > 1024 à la place du port 21. Ce qui expliquerait que la définition RELATED ne fonctionne pas ?

Pascal.

BlockOutTraffic et accès FTP

BlockOutTraffic et accès FTP

Re: BlockOutTraffic et accès FTP

Qui est en ligne ?