Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Iptables et FTP

[supprimé]

Je veins de me rendre compte que j'ai un bug dans mon script Iptable :
http://www.tux-planet.fr/blog/?2006/03/05/55-un-firewall-avec-iptables

Celui ne marche pas très bien avec le protocol FTP. La connexion se fait bien sur le serveur par le port 21, mais il n'affiche pas le listing du repertoire. J'ai réussi à isoler la parti ou iptable DROP les paquets qui demande le listing :

Dec  9 16:28:15 localhost kernel: [IPTABLES DROP]:IN= OUT=eth0 SRC=192.168.0.175 DST=213.******** LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=1020 DF PROTO=TCP SPT=35778 DPT=21862 WINDOW=5840 RES=0x00 SYN URGP=0 
Dec  9 16:28:18 localhost kernel: [IPTABLES DROP]:IN= OUT=eth0 SRC=192.168.0.175 DST=213.******** LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=1021 DF PROTO=TCP SPT=35778 DPT=21862 WINDOW=5840 RES=0x00 SYN URGP=0 
Dec  9 16:28:24 localhost kernel: [IPTABLES DROP]:IN= OUT=eth0 SRC=192.168.0.175 DST=213.******** LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=1022 DF PROTO=TCP SPT=35778 DPT=21862 WINDOW=5840 RES=0x00 SYN URGP=0

Ce qui me parait bizarre ici, c'est le port utilisé pour la demande : SPT=35778
Il est assez normal que iptable DROP ce paquet, car ce port de communiquation n'est pas autorisé par mon script.

La question est plutôt, pourquoi le client ftp (gftp) utilise ce port ???

Ce qui me m'énerve le plus, c'est que si j'accepte la communiquation par ce port :

iptables -A OUTPUT -o eth0 -p TCP --dport 35778 -j ACCEPT

Gftp passe par un autre :

Dec  9 16:35:43 localhost kernel: [IPTABLES DROP]:IN= OUT=eth0 SRC=192.168.0.175 DST=213.********** LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=8004 DF PROTO=TCP SPT=33609 DPT=31679 WINDOW=5840 RES=0x00 SYN URGP=0

remi

Classique

FTP utilise plusieurs ports.

Le choix du port de communication pour le transfert est choisi par le client ou le serveur en fonction du mode (actif/passif)

Le module ip_conntrack_ftp permet de gérer cela.

A+

[supprimé]

J'ai ajouté ces lignes dans mon script :

# Chargement du module ip_contrack, pour palier au problème de connexion FTP qui utilise plusieurs ports
/sbin/modprobe ip_conntrack_ftp

Cela ne marche pas mieux. J'ai oublier quelque chose ?

remi

Comme modules, il y en a plein
ip_conntrack
ip_conntrack_ftp (devrait charger le premier, à vérifier)

Et si tu fais de la translation :
ip_nat_ftp

Pour les ports , il faut ouvrir le 20 (ftp-data) et le 21 (ftp)

Et je n'ai pas vu dans ton script la règle (enfin juste en icmp)
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

A+

P.S. c'est le module "conntrack" qui marque le paquet et permet d'utiliser l'état RELATED

[supprimé]

J'ai fait tout ce que tu m'as dit remi, mais toujours pas d'amélioration :
http://www.tux-planet.fr/iptables.txt

Il y a une truc qui doit pas marcher.

[supprimé]

Plus personnes peut m'aider ?

Toxic292

Je pense que ton problème vient de ces deux lignes ci-dessous :

iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport ftp -j ACCEPT
iptables -A OUTPUT -o $IF_RESEAU -p TCP --dport ftp-data -j ACCEPT

En effet si tu réalises un connexion FTP cliente depuis ta machine, tu va en effet SORTIR sur le port 21 (FTP) mais en retour, c'est le serveur FTP sur lequel tu te sera connecté qui tentera de faire une connexion ENTRANTE sur ta machine en utilisant le port SOURCE 20 (FTP-DATA). Cette connexion entrante sera marquée RELATED par le module ip_conntrack_ftp.

Ainsi tu dois inverser la ligne concernant le ftp-data et préciser le port SOURCE en ftp-data :

iptables -A INPUT -o $IF_RESEAU -p TCP --sport ftp-data -j ACCEPT

Ceci dit cette config n'est pas sûre car tu ne précises pas que la connexion est relative à une connexion sortante établie (RELATED).
Ainsi n'importe quelle connexion entrante de source-port 20 sera autorisée (trou de sécurité majeur !).

Pour faire plus propre tu devrais faire comme ceci :

# FTP sortant
iptables -A OUTPUT -o $IF_RESEAU -p tcp --dport $PORT_FTP -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $IF_RESEAU -p tcp --sport $PORT_FTP -m state --state ESTABLISHED -j ACCEPT

# FTP-DATA entrant relatif
iptables -A INPUT -i $IF_RESEAU -p tcp --sport $PORT_FTP_DATA -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $IF_RESEAU -p tcp --dport $PORT_FTP_DATA -m state --state ESTABLISHED -j ACCEPT

Un autre conseil, utilises tcpdump pour analyser tes trames IP.
Exemple pour voir la connexion ftp-data entrante :
# tcpdump -i eth0 -nn "src port 20"

tcpdump : c'est d'la bombe bébé ! 🙂

Voilà en espérant que cela t'aide.
Signales moi si cela ne fonctionne pas, j'ai écris tout ça un peu vite sans vérifier.

Toxic292

Dernière remarque : assures toi bien lors de tes tests que ton client FTP est bien en mode actif et non pas passif.
En effet, c'est le mode actif qui exploite la connexion ftp-data.

[supprimé]

Comprend pas, j'ai ajouté :

# FTP sortant
iptables -A OUTPUT -o $IF_RESEAU -p tcp --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $IF_RESEAU  -p tcp --sport ftp -m state --state ESTABLISHED -j ACCEPT

# FTP-DATA entrant relatif
iptables -A INPUT -i $IF_RESEAU  -p tcp --sport ftp-data -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $IF_RESEAU -p tcp --dport ftp-data -m state --state ESTABLISHED -j ACCEPT

et ce la ne marche toujours pas. Voici les paquets DROP :

Dec 12 01:11:44 localhost kernel: [IPTABLES DROP]:IN=eth0 OUT= MAC=00:11:d8:3c:dc:c1:00:0f:3d:22:********* SRC=*************** DST=192.168.0.175 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=59429 DF PROTO=TCP SPT=20 DPT=45624 WINDOW=5840 RES=0x00 SYN URGP=0 
Dec 12 01:11:47 localhost kernel: [IPTABLES DROP]:IN=eth0 OUT= MAC=00:11:d8:3c:dc:c1:00:0f:3d:22:********* SRC=*************** DST=192.168.0.175 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=59430 DF PROTO=TCP SPT=20 DPT=45624 WINDOW=5840 RES=0x00 SYN URGP=0

J'ai également configurer gttp pour ne faire ques des connexions actives, cela ne donne rien.

[supprimé]

Même si c'est un peu mieux qu'avant, il drop toujours les paquet entrant ftp-data !

[supprimé]

Bon ben j'ai finis par trouvé en faite, il fallait rajouter new pour le INPUT de ftp-data :

iptables -A INPUT -i $IF_RESEAU  -p tcp --sport ftp-data -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Toxic292

pti-seb wrote:Même si c'est un peu mieux qu'avant, il drop toujours les paquet entrant ftp-data !

Es tu sur d'avoir bien activé le module ip_conntrack_ftp au niveau du noyau car c'est celui là qui marquera les paquets en RELATED.
La règle que je t'avais donné concernant le ftp-data aurait donc du suffire (extrait ci-dessous) :

# FTP-DATA
iptables -A OUTPUT -o $IF_WAN -s $IP_WAN -p tcp --sport $PORT_FTP_DATA -m state --state RELATED,ESTABLISHED -j ACCEPT

En effet, le fait que tu ais à rajouter le NEW me fait penser que les connexions ftp-data n'ont pas été marquées comme RELATED.

Ta règle ci-dessous présente à mon avis un danger :
iptables -A INPUT -i $IF_RESEAU -p tcp --sport ftp-data -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

En effet celle ci autorise n'importe quelle connexion entrante qui utiliserait le port source ftp-data, sans aucun lien avec une connexion sortante déjà établie. A étudier de plus prêt donc.

Toxic292

Pour vérifier l'activation du module ip_conntrack_ftp au niveau du noyau, il te suffit de taper la commande suivante :

# lsmod |grep ip_conntrack_ftp

Cette commande renoie dans mon cas les informations suivantes :

ip_conntrack_ftp 7901 1 ip_nat_ftp
ip_conntrack 53369 6 ip_nat_ftp,ip_conntrack_ftp,ipt_MASQUERADE,iptable_nat,ip_nat,xt_state

Que tout cela puisse t'aider.

[supprimé]

En faite le problème venait bein du module ip_conntrack_ftp qui ne se chargait pas. Et oui dans mon script, je change les modules, puis je lance un iptable restart. Or cette dernière commande s'occupe de décharger les module ip_con* et de recharger seulement ip_conntrack.

Donc sans le savoir, je faisais mais test sans ip_conntrack_ftp. Fallait le voir le problème !

Du coup même plus besoin de jouer avec les INPUT et les RELATED, ça marche tout seul maintenant. J'ai donc mis une nouvelle version de mon script sur mon site, dispo ici :
http://www.tux-planet.fr/blog/?2006/03/05/55-un-firewall-avec-iptables

Merci à Remi et Toxic292 pour leur aide.

Toxic292

De rien, avec plaisir.
Mais j'ai pas de mérite : ça fait bientôt 6 ans que je tripatouille des firewall avec iptables.
J'ai donc moi-même passé des heures et des heures sur des problèmes de ce type là avant de te répondre 😉

Je te donne ci-dessous un lien vers un tutorial (en anglais) écrit par Oskar Andreasson qui m'a souvent sauvé la vie pour comprendre iptables.
C'est clair, précis et avec ça tu sauras tout sur iptables. De même, la man page de iptables, indispensable pour faire du bon boulot.
Egalement un lien vers un doc que j'ai écris moi-même en interne dans ma société comme support de formation à un de mes collègues.
Le tout disponible sur mon site perso.

http://opensource.boisseleau.com/doc/iptables-tutorial.pdf
http://opensource.boisseleau.com/doc/iptables.8.man.pdf
http://opensource.boisseleau.com/doc/iptables-schema.pdf

Que la force du noyau Linux protège tes machines !