Règles statefull iptables



  • Bonjour,

    Sur un VPS lp1, je n'arrive pas à faire de règles statefull avec iptables (NEW, ESTABLISHED, RELATED). Celle ci ne sont jamais 'matché'.

    Je pense que le module le permettant n'a pas été activé dans le serveur openvz.

    Serait-il possible de l'activer?

    Merci

    Alex



  • Pour illustrer le problème:

    
    modprobe nf_conntrack_ipv4
    libkmod: ERROR ../libkmod/libkmod.c:505 kmod_lookup_alias_from_builtin_file: could not open builtin file '/lib/modules/2.6.32-27-pve/modules.builtin.bin'
    FATAL: Module nf_conntrack_ipv4 not found.
    
    


  • J'allais justement ouvrir le même bug

    impossible de me connecter par FTP si mes règles firewall sont installées.

    Je précise que ces même règles fonctionnent sur mes autres VPS/dédié de FH

    La ligne qui ne me permet pas de faire executer mon firewall :

    FTP In/Out

    iptables -t filter -A OUTPUT -p tcp –dport 20:21 -j ACCEPT
    modprobe ip_conntrack_ftp
    iptables -t filter -A INPUT -p tcp –dport 20:21 -j ACCEPT
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    de fait, j'arrive à me connecter par FTP, mais le listing du repertoire ne se fait pas. Si je flush mes IPtable tout refonctionne !

    les traces côté FTP :

    Commande : OPTS UTF8 ON
    Réponse : 200 OK, UTF-8 enabled
    Statut : Connecté
    Statut : Récupération du contenu du dossier…
    Commande : PWD
    Réponse : 257 "/" is your current location
    Commande : TYPE I
    Réponse : 200 TYPE is now 8-bit binary
    Commande : PASV
    Réponse : 227 Entering Passive Mode (185,13,38,62,6,153)
    Commande : MLSD
    Erreur : Délai d'attente expiré
    Erreur : Impossible de récupérer le contenu du dossier

    halp !


  • Administrateur

    Le module conntrack doit pas être chargé, on va corriger, pouvez faire un petit ticket ?



  • au delà du "pas chargé" il n'est pas présent du tout  :-\

    lsmod
    Module                  Size  Used by

    rien de rien.

    J'ouvre le ticket.


  • Administrateur

    Non, juste pas chargé coté kernel partagé. Pour ça que tu ne le vois pas.



  • J'ai également ouvert un ticket pour ma part car je n'ai toujours pas le module en question.

    Merci par avance :)

    Alex


  • Administrateur

    Ticket répondu.
    Les modules ont étés ajoutés, il faut rebooter.



  • Nickel, ça fonctionne!

    Super réactivité du support.

    Merci



  • J'ai de nouveau le soucis sur un nouveau VPS de type GP1

    ticket ouvert sans réponse depuis avant hier  :(

    Régression dans le kernel ?


  • Administrateur

    Tu est en GP, donc libre de choisir ton propre kernel et d'y activer les services de filtrage.


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.