IPTABLE pour FTP passif sur LP1



  • Sujet déjà abordé sans résoudre totalement la question il y a un bout de temps

    http://www.forum-firstheberg.com/index.php?topic=6061.0

    Sur les LP1 qui sont sous openVZ nous ne pouvons activer la ligne "modprobe ip_conntrack_ftp" dans les fichiers IPTABLES.

    Du coup mon fichier firewall qui comporte un truc du genre

    # FTP In/Out
    iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
    modprobe ip_conntrack_ftp
    iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    

    sur mes GP1 et Dédiés ne fonctionne pas sur les VPS LP …

    J'ai essayé :

    Finally, allow ftp-data Passive Mode at client side:

    Client starts RELATED connection from random own high port number

    to server fixed high port number negotiated in ftp-control connection.

    nf_conntrack_ftp is REQUIRED again at client host

    to pick up this client port number from payload of ftp-control packets,

    otherwise You are forced to use 'NEW' instead of 'RELATED' !

    iptables -A OUTPUT -p tcp -m tcp –sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT

    sur une idée de la hotline : échec total, il n'y a aucune connexion possible. J'ai donc essayé en complément:

    # FTP In/Out
    iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
    #modprobe ip_conntrack_ftp # ligne facultative avec les serveurs OVH
    iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # Finally, allow ftp-data Passive Mode at client side:
    # Client starts RELATED connection from random own high port number
    # to server fixed high port number negotiated in ftp-control connection.
    # nf_conntrack_ftp is REQUIRED again at client host
    # to pick up this client port number from payload of ftp-control packets,
    # otherwise You are forced to use 'NEW' instead of 'RELATED' !
    iptables -A OUTPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
    

    Mais si la connexion se fait, les dossiers ne se listent pas et la déco s'ensuit au bout d'un moment. Bon du coup si quelqu'un avait une idée, j'en ai ma claque de fouiller les tutos sur les sujets sans rien comprendre ^_^

    PS : déjà posé la question à la hotline hier soir et je me suis pris un "s'pas à nous de répondre". Bref pas de solution de ce côté.


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.