Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...
Modérateur: modos Ixus
par vLr » 16 Fév 2004 12:34
Je cherche à contrôler les accès vers l'extérieur depuis mon lan et je me pose une question concernant le FTP passif:
<BR>
<BR>Pour authoriser la connexion initiale vers un serveur FTP externe je procède comme suit:
<BR>iptables -A FORWARD -s $LAN -d 0/0 -p tcp --dport 21 -j ACCEPT
<BR>iptables -A FORWARD -s 0/0 -d $LAN -p tcp --sport 21 -m state --state RELATED, ESTABLISHED -j ACCEPT
<BR>
<BR>Toutes sorties du lan vers un serveur ftp est authorisée puis toute réponse du serveur ftp vers le lan également à condition que le lan ai initié la connexion (me dire si j'ai fait une erreur dans mes règles)
<BR>
<BR>ensuite pour authoriser les transferts ftp passifs je devrait théoriquement mettre ceci:
<BR>iptables -A FORWARD -s $LAN -d 0/0 -p tcp --dport 1024:65535 -j ACCEPT
<BR>iptables -A FORWARD -s 0/0 -d $LAN -p tcp --sport 1024:65535 -m state --state RELATED, ESTABLISHED -j ACCEPT
<BR>
<BR>Mais bon, ça ne me semble pas très sécurisé puisque ok le ftp passif doit pouvoir passer mais ça veut dire aussi que n'importe quelle appli qui utilise un "high port" peut initier une connexion vers l'extérieur... ??
<BR>
<BR>Comment je peux mettre en relation la connexion 2 si et seulement si le lan a initié une connexion 1 (ftp vers port 21) ??
-
vLr
- Quartier Maître
-
- Messages: 17
- Inscrit le: 28 Jan 2004 01:00
par vLr » 16 Fév 2004 13:24
Okay je vais me répondre tout seul car je crois que j'ai compris...
<BR>
<BR>Il faut mettre ça:
<BR>iptables -A FORWARD -s $LAN -d 0/0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED, ESTABLISHED -j ACCEPT
<BR>iptables -A FORWARD -s 0/0 -d $LAN -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED, ESTABLISHED -j ACCEPT
<BR>
<BR>La 1ere ligne authorise toutes les sorties (redirigées d'ou le FORWARD) depuis le LAN depuis et vers un port non privilégié (1024:65535) à condition que la connexion soit : soit en relation (RELATED) avec une autre connexion (donc ma connexion au port 21 d'un serveur ftp), soit déjà établie
<BR>
<BR>La 2e ligne fait de même mais cette fois ci depuis l'extérieur vers le LAN
<BR>
<BR>
<BR>Merci à tous pour vos réponses...
<BR>Merci de me dire si je me suis gouré.
<BR>Peut-être que mon post aidera certains d'entre vous.
-
vLr
- Quartier Maître
-
- Messages: 17
- Inscrit le: 28 Jan 2004 01:00
par samplouf » 04 Déc 2004 22:50
Merci, ce message m'a instruit. Pour le moment j'ai un probleme de transfert des gros fichiers, au bout d'un moment le transfert s'arrete parfois apres 50 Mo parfois apres mois. J'ai ce probleme en transferant par ftp a l'interieur de mon lan mais aussi vers l'extérieur.
Config: routeur pentium2 debian noyau 4.2.27 + 4 pc windows reliés a un hub qui est lui meme relié au pentium2
je voir si tes commandes sont bien présentes dans mon iptables et tester. on m'a parler de faire varier la valeur du MTU et du RSS malgré que je n'ai pas d'adsl mais du cable, mais je ne sais pas ou je peux changer ces valeurs.
Samuel
-
samplouf
- Matelot
-
- Messages: 1
- Inscrit le: 04 Déc 2004 22:43
par alasta » 09 Déc 2004 21:10
Bonjour,
je souhaite juste dire que si tu veux autorisé l'initialisation du ftp dupuis le LAN, au lieu de
iptables -A FORWARD -s $LAN -d 0/0 -p tcp --dport 21 -j ACCEPT
j'aurai mis
iptables -A FORWARD -s $LAN -d 0/0 -p tcp --dport 21 -m state --state NEW,RELATED, ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 0/0 -d $LAN -p tcp --sport 21 -m state --state RELATED, ESTABLISHED -j ACCEPT
voila c'est juste cela.
A+
-
alasta
- Quartier Maître
-
- Messages: 16
- Inscrit le: 06 Nov 2004 15:41
Retour vers Sécurité et réseaux
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité