Probleme proftp bloqué par firewall [RESOLU]

raleur · 17-08-2018 13:47:49

Pas le même usage. fail2ban ne protège pas contre l'abus des ports de données FTP. D'autre part il protège le serveur, pas le client. La redirection des ports actifs expose le client.

Dernière modification par raleur (17-08-2018 14:56:52)

Beta-Pictoris · 22-08-2018 11:18:36

J'arrive à faire du ftp actif avec les règles suivantes coté serveur. J'utilise le module "state" qui est, de nos jours, un alias de "conntrack":

modprobe nf_conntrack_ftp

echo 1 > /proc/sys/net/netfilter/nf_conntrack_helper

iptables -X

iptables -F

iptables -P INPUT   DROP

iptables -P FORWARD DROP

iptables -P OUTPUT  DROP

iptables -A INPUT  -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT  -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

iptables -A INPUT  -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED     -j ACCEPT

iptables -A OUTPUT -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT  -p tcp --dport 20 -m state --state ESTABLISHED         -j ACCEPT

iptables -A INPUT  -p tcp -j LOG

iptables -A OUTPUT -p tcp -j LOG

Je constate que l'état RELATED n'est nécessaire que pour une seule règle. On peut, même, utiliser l'état NEW à place. Ça passe malgré la perte de quelques paquets.

Dernière modification par Beta-Pictoris (22-08-2018 11:35:51)

raleur · 22-08-2018 13:24:44

Les seuls paquets d'une session FTP pouvant être dans l'état RELATED sont les paquets SYN émis pour établir une connexion de données liée à une connexion de commande surveillée par le helper de suivi de connexion FTP nf_conntrack_ftp. Pour rappel,
- un paquet SYN est émis par le serveur pour établir une connexion de données en mode actif,
- un paquet SYN est émis par le client pour établir une connexion de données en mode passif.
Les paquets suivants d'une connexion de données en mode actif ou passif sont dans l'état ESTABLISHED.

Si la connexion de commande n'est pas surveillée ou est chiffrée, les paquets SYN sont dans l'état NEW comme pour une connexion TCP indépendante.
Si tu veux utiliser l'état NEW au lieu de RELATED avec les connexions de données FTP, il ne faut pas activer le suivi de connexion FTP.

Beta-Pictoris · 22-08-2018 14:06:00

Le suivi de connexion FTP n'a finalement que peu d'intérêt si on peut utiliser l'état NEW au lieu de RELATED pour les connexions sortantes. Pourquoi s'embêter ?

Quand je regarde dans le wiki, énormément de règles utilisent l'état RELATED: https://debian-facile.org/doc:reseau:ip … -un-client
Est-ce bien utile ?

Dernière modification par Beta-Pictoris (22-08-2018 14:12:15)

raleur · 22-08-2018 14:34:27

Beta-Pictoris a écrit :

Pourquoi s'embêter ?

Pour autoriser les connexions sortantes nécessaires au plus juste.
Si le démon FTP était compromis ou buggé, il pourrait utiliser le port 20 pour se connecter à n'importe quel port de n'importe quelle adresse. Seul le helper FTP permet à iptables de distinguer ces connexions illégitimes des connexions de données légitimes demandées par un client FTP.

Beta-Pictoris a écrit :

Quand je regarde dans le wiki, énormément de règles utilisent l'état RELATED: https://debian-facile.org/doc:reseau:ip … -un-client
Est-ce bien utile ?

Non, c'est clairement abusif.

Debian-facile

#26 17-08-2018 13:47:49

Re : Probleme proftp bloqué par firewall [RESOLU]

#27 22-08-2018 11:18:36

Re : Probleme proftp bloqué par firewall [RESOLU]

#28 22-08-2018 13:24:44

Re : Probleme proftp bloqué par firewall [RESOLU]

#29 22-08-2018 14:06:00

Re : Probleme proftp bloqué par firewall [RESOLU]

#30 22-08-2018 14:34:27

Re : Probleme proftp bloqué par firewall [RESOLU]

Pied de page des forums