Page 1 sur 1

[pare-feu] iptable

Publié : dim. 28 août 2016, 15:23
par AchilleFraisse
Bonjour,

J'ai un problème avec mon par-feu. Lorsque j'essaie de me conencter à mon ftp OVH via filezilla, ça ne marche pas. La connexion se passe bien, mais ensuite je reste bloqué sur ce message :

Code : Tout sélectionner

Status:	Resolving address of ftp.cluster003.ovh.net
Status:	Connecting to 213.186.33.202:21...
Status:	Connection established, waiting for welcome message...
Status:	Insecure server, it does not support FTP over TLS.
Status:	Logged in
Status:	Retrieving directory listing...
Et il ne me liste pas le répertoire / sur le serveur de OVH.
Je sais que ça vient de mon par-feu, car si je le désactive, ça marche nickel.

Voici mon fichier :

Code : Tout sélectionner

#!/bin/bash

# Réinitialisation des règles
iptables -t filter -F
iptables -t filter -X

# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Echange avec les serveurs DNS
iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT 
iptables -t filter -A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Autorise les connexions hhtp, https et nfs
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 21,23,25,80,110,111,143,225,443,2049,22468,25000,46000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp -m multiport --sports 21,23,25,80,110,111,143,225,443,2049,22468,25000,46000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Autorise les connexions localhost
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT

# Horloge du serveur
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

exit 0

Re: [pare-feu] iptable

Publié : dim. 28 août 2016, 16:12
par benjarobin
Essaye ceci

Code : Tout sélectionner

#!/bin/bash

# Réinitialisation des règles
iptables -t filter -F
iptables -t filter -X

# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Autorise les connexions localhost
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT

# Echange avec les serveurs DNS
iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

# Horloge du serveur
iptables -t filter -A OUTPUT -p udp -m udp --dport 123 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

# Autorise les connexions http, https, ftp et nfs, ...
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 21,23,25,80,110,111,143,225,443,2049,22468,25000,46000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -t filter -A INPUT -s 0.0.0.0/0  -p all -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Le retour est déjà filtrer via le suivit de connexion, pas besoin de spécifier les ports

Sinon c'est quoi les ports 2049,22468,25000,46000 ?

Re: [pare-feu] iptable

Publié : dim. 28 août 2016, 16:18
par AchilleFraisse
Ok, merci. Je vais essayer.

Le port 2049 est le port pour mon disque réseau (protocole de transmission nfs)
Et les ports 22468, 25000, 46000 sont des ports que j'utilise pour des applications sur mon réseau local.

Re: [pare-feu] iptable

Publié : dim. 28 août 2016, 16:29
par AchilleFraisse
Non, ca ne marche toujours pas

Re: [pare-feu] iptable

Publié : dim. 28 août 2016, 20:01
par benjarobin
Étrange, car je l'ai testé, et cela fonctionne très bien. Testé sur un serveur OVH avec filezilla.
Avec ta configuration initiale, j'ai bien le même souci que toi...

Mais si ton client FTP est configuré en mode passif cela ne marchera pas, car le port de sortie est dynamique.
Comme je l'avais expliqué ici viewtopic.php?p=155545#p155545 je ne vois pas l’intérêt de bloquer des ports en sortie

Ce qui donne comme configuration

Code : Tout sélectionner

#!/bin/bash

# Réinitialisation des règles
iptables -t filter -F
iptables -t filter -X

# Bloque tout le trafic
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Autorise les connexions localhost
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT

# Autorise les connexions sortantes
iptables -t filter -A OUTPUT -d 0.0.0.0/0 -p all -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT 
iptables -t filter -A INPUT -s 0.0.0.0/0  -p all -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Re: [pare-feu] iptable

Publié : dim. 28 août 2016, 20:57
par AchilleFraisse
C'est bon !
En rajoutant ces deux lignes à la fin, ca marche !
Merci