Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

proftpd et iptables

marc2006

Par marc2006
dans OS alternatifs

 Partager

Messages recommandés

marc2006 Godlike Member

marc2006

Posté(e)
Posté(e) (modifié)

Bonsoir :P

 

voilà, j'ai un serveur ftp sous proftpd, mais qui ne fonctionne pas de l'extérieur. Je m'explique : Mon ami n'arrive pas à s'y connecter, la connexion restant bloquée sur "LIST". Donc ça vient de iptables :P

 

Je ne sais plus comment j'avais fait pour remédier à ce problème mais il s'agit d'un ou plusieurs modules iptables ( au passage, j'ai mis dans iptables-config ip_conntrack_ftp mais ça n'a pas réglé le problème :s )

 

Voilà ce que j'ai dans mon script de règles iptables en ce qui concerne le ftp :

 

...
$IPTABLES -A INPUT -i eth0 -p tcp --dport ftp -j ACCEPT || failure # ftp
#$IPTABLES -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -p tcp --dport 60000:60030 -j ACCEPT # proftpd - ports passifs
...
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT || failure
...

 

La connexion ne marche que si je mets ( en décommentant bien sur la 2ème ligne ) NEW mais bon faut pas faire ça :P

 

Merci :P

 

ps : j'ai redirigé les ports 21 et les ports passifs dans ma freebox.

Modifié par marc2006

Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

puisque les ports sont ouverts automatiquement via la lecture de la commande PASV par Netfilter, pourquoi en spécifier une (cette plage est bien celle utilisée par Proftpd?)

 

si tu mets cette régle en première ligne que se passe-t-il?

$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

 

le module ip_conntrack_ftp est bien chargé? => lsmod

marc2006 Godlike Member

marc2006

Posté(e)
  • Auteur
Posté(e) (modifié)

j'oubliais de préciser : j'utilise ftp over tls :s

 

à priori, c'est normal que iptables ne puisse pas ouvrir les ports passifs :s

 

N'y a-t-il pas un moyen ( peut être une option avec TLSRequired ? ) de n'utiliser le tls que pour l'authentification ( et data ) et de laisser les échanges de ports en clair ?

 

Merci

 

ps : voir cette page pour tlsrequired mais je comprends pas exactement http://www.proftpd.org/docs/directives/lin...LSRequired.html

Modifié par marc2006
Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

ah oui en effet ça change tout :P . Pourquoi ne pas utiliser SFTP dans ce cas là => FTP sur SSH, au pire tu configures le shell en /bin/false de tes utilisateurs distant

 

la directive

TLSRequired auth+data

ne fonctionne pas ? elle devrait permettre à netfilter d'extraire les informations de ports liés de la connexion de contrôle puisque seule l'authentification est cryptée

marc2006 Godlike Member

marc2006

Posté(e)
  • Auteur
Posté(e) (modifié)
ah oui en effet ça change tout :P . Pourquoi ne pas utiliser SFTP dans ce cas là => FTP sur SSH, au pire tu configures le shell en /bin/false de tes utilisateurs distant

 

mmh donc y a pas moyen de faire ce que je veux :P

 

bon, ben c'est pour un ami, comme on a des PPE à faire, j'ai mis les fichiers sur mon ordi, et ben il peut pas y accéder :s il est sous vista ... donc ftp sur ssh déjà je sais pas comment ça marche ... :P

 

edit : pour ton edit, bah je l'ai mis, j'attends qu'il vienne essayer ... mais c'est la dernière phrase qui parle justement de cette option ( auth+data) je comprends pas vraiment ...

 

edit 2 : auth+data, c'est authentification et transferts etc .. qui sont cryptés, donc tout si j'ai bien compris SAUF les informations relatives aux ports de connexions ..

Modifié par marc2006
Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

ton copain, il a juste à installer Filezilla client et indiquer dans le gestionnaire de site - type de serveur : SFTP SSH File Tranfer Protocol Port: 22

marc2006 Godlike Member

marc2006

Posté(e)
  • Auteur
Posté(e) (modifié)
ton copain, il a juste à installer Filezilla client et indiquer dans le gestionnaire de site - type de serveur : SFTP SSH File Tranfer Protocol Port: 22

 

ah c'est tout :P oui il utilise filezilla pour 'tenter' de se connecter a mon ftp

 

bon, sinon, je sais pas comment je mets ça en place chez moi :P j'ai proftpd pour mon serveur ftp .... j'ai jamais utilisé ftp over ssl ...

Modifié par marc2006
Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

pour mettre en place FTP over SSL avec proftpd, j'imagine qu'il faut lui ndiquer dans ses fichiers de configuration et générer des certificats SSL.

 

Pour SFTP, un serveur SSH suffit amplement (avec un compte valide sur le système)

marc2006 Godlike Member

marc2006

Posté(e)
  • Auteur
Posté(e) (modifié)

ouep, une commande qui a généré 2 certificats ...

 

sinon, je vais voir pour tlsrequired.

 

Et que penses tu du ftp over ssh ? Mieux ? ( sécurité, performances, rapidité etc ... ) faudrait juste que je me documente sur sa mise en oeuvre ...

 

++

Modifié par marc2006
Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)
Et que penses tu du ftp over ssh ? Mieux ? ( sécurité, performances, rapidité etc ... ) faudrait juste que je me documente sur sa mise en oeuvre ...

plus simple, tout passe dans le tunnel SSH. Si tu veux t'amuser, tu peux mettre le serveur dans un chroot

http://www.howtoforge.com/chrooted-ssh-sft...al-debian-lenny

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...