Salut à tous !
Merci pour les liens vers les diverses documentations, il est toujours utile de les donner. Cela dit, je les connaissais (y compris les pages du manuel), mais avec le passage vers Firewalld, j’ai du mal à m’y retrouver.
D’ailleurs, tout ne se passe pas comme prévu. Ainsi, plutôt que de créer une règle pour que le noyau charge le module, je suis passé par « /etc/sysconfig/iptables-config » :
$ ls /etc/modules-load.d/
nf_conntrack_ftp.sav VirtualBox.conf
$ sudo cat /etc/sysconfig/iptables-config
# Load additional iptables modules (nat helpers)
# Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="nf_conntrack_ftp nf_nat_ftp"
# Unload modules on restart and stop
# Value: yes|no, default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"
# Save current firewall rules on stop.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"
# Save current firewall rules on restart.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"
# Save (and restore) rule and chain counter.
# Value: yes|no, default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"
# Numeric status output
# Value: yes|no, default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"
# Verbose status output
# Value: yes|no, default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"
# Status output with numbered lines
# Value: yes|no, default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"
Cependant, après avoir relancé la machine, le résultat n’est pas celui espéré :
$ ftp braque.mema.ucl.ac.be
Connected to braque.mema.ucl.ac.be (130.104.237.7).
220 (vsFTPd 2.2.2)
Name (braque.mema.ucl.ac.be:ylebars): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> passive
Passive mode off.
ftp> ls
200 PORT command successful. Consider using PASV.
425 Failed to establish connection.
ftp> exit
221 Goodbye.
Du coup, pour l’instant je retourne à l’approche consistant à charger le module dans le noyau selon la méthode applicable à tout module. Cela dit, si quelqu’un a une idée de configuration de « /etc/sysconfig/iptables-config », je suis preneur.
VINDICATORs wrote:
Sinon oui on me charie sur le sujet du pare feu par défaut entre débian et Fedora/centos... d'ailleurs même selinux est casse pied. Surtout auprès des débutants...
En tant qu’utilisateur aussi bien de Fedora que de CentOS et Debian : en effet, l’un et l’autre ne prenne pas le même point de départ. Cela dit, une solution n’est pas adapté pour tout, c’est la raison pour laquelle il existe des fichiers de configuration (et des distributions différentes). Ce qui compte, c’est que l’un et l’autre permettent au final de mettre en place le même genre de solution. Le reste, ça a à peu près autant d’intérêt que le troll GNU Emacs contre Vim ou Amiga 500 contre Atari 1040 STe – alors que tout le monde sait que la meilleure machine, c’était le Falcon 030.
À bientôt.
Le Farfadet Spatial