Le Forum Non Officiel de la DEDIBOX
Vous n'êtes pas identifié.
Bonsoir,
Voilà je bloque sur un truc. Je souhaite utiliser vsftpd over TLS/SSL. J'ai donc dans vsftpd.conf les lignes suivantes :
# SSL options ssl_enable=YES #ssl_tlsv1=YES #ssl_sslv2=NO #ssl_sslv3=NO #allow_anon_ssl=NO #force_local_data_ssl=YES #force_local_logins_ssl=YES # # This option specifies the location of the RSA certificate to use for SSL # encrypted connections. rsa_cert_file=/etc/ssl/certs/vsftpd.pem
Tout fonctionne correctement, je peux me connecter en TLS explicite. Mais quand je mets en place le script des règles iptables, et bien ça ne passe plus. la partie FTP du script est la suivante :
# FTP modprobe ip_conntrack_ftp iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo "- Autoriser serveur FTP : [OK]"
J'ai lu sur plusieurs forums qu'ip_conntrack_ftp ne fonctionne pas avec le chiffrement, et qu'il faut configurer vsftpd en mode passif. J'ajoute donc ces lignes à mon fichier vsftpd.conf :
# ftp en mode passif pasv_enable=YES pasv_min_port=3000 pasv_max_port=3005 pasv_address=xx.xx.xx.xxx pasv_promiscuous=NO port_promiscuous=NO
Maintenant, je galère pour trouver comment renseigner la règle qui va bien dans iptable (la plage 3000:3005 donc). Quelqu'un aurait-il une idée ?
Par avance, merci pour vos réponses.
Dernière modification par stanlog (2010-01-16 09:24:09)
Hors ligne
Bonjour, je remonte ce post, car je n'ai toujours pas trouvé la parade. Si quelqu'un a un début de piste, je prends !
Merci à tout le monde.
Hors ligne
Hi,
J'ai trouvé un début de réponse. J'ai ajouté la ligne :
iptables -A INPUT -p tcp --dport 3000:3005 -j ACCEPT
Ce qui me donne :
# FTP modprobe ip_conntrack_ftp iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p tcp --dport 3000:3005 -j ACCEPT iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo "- Autoriser serveur FTP : [OK]"
Après rechargement des règles du firewall, ça fonctionne, j'arrive bien à me connecter en TLS explicite
Maintenant, j'aimerais savoir si je peux enlever les deux lignes :
modprobe ip_conntrack_ftp iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
J'ai cru comprendre qu'elles ne servaient pas dans ce cas de figure. Est-ce le cas ?
Merci par avance pour vos réponses.
[edit]
Je me réponds à moi-même. Voilà l'extrait de mon fichier qui a l'air de fonctionner :
# FTP iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 3000:3005 -j ACCEPT echo "- Autoriser serveur FTP : [OK]"
En espérant que cela puisse servir à d'autres...
[/edit]
Hors ligne