J'ai aussi quelques difficultés à configurer netfilter (et surtout peu de temps pour lire / chercher de la doc). Sur le site de netfilter (www.netfilter.org), il y a pas mal de liens qui devraient t'aider, dont :
http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html
Pour faire du ftp actif, il faut (semble-t-il, je ne suis pas expert), permettre les connexions/packets du port 20 (source serveur) vers ton client ftp (ftp-data = "" , /etc/services). Le module ip_conntrack_ftp reconnait la commande ftp "PORT", en extrait le numéro de port, et marque les packets ftp sur ce port en "RELATED".
Si il y en a qui connaissent un bon manuel netfilter en français....
Eric.
François Boisson wrote:
Je pense que tu t'y prends mal, commence par faire les règles minimales de transfert:(sortie supposée sur ppp0)# iptables -t nat -F # iptables -F INPUT # iptables -F OUTPUT # iptables -F FORWARD # iptables -P INPUT ACCEPT # iptables -P OUTPUT ACCEPT # iptables -P FORWARD ACCEPT # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # echo "1" > /proc/sys/net/ipv4/ip_forward Théoriquement, tout devrait fonctionner. Le module ip_countrack_ftp permet à Netfilter de reconnaitre la nécessité de router le ftp-data et de la faire en conséquence. Puis tu instroduit tes règles de parefeu au fur et à mesure jusqu'à voir celle qui coince. A ce stade, tu peux identifier le problème et le régler. Cette méthode est générale. François Boisson On Wed, 14 May 2003 09:39:42 +0200 "Stephane Toussaint" <[EMAIL PROTECTED]> wrote:"Il faut donc autoriser les connections dans l'état RELATED dans la chaîne FORWARD de la table FILTER de netfilter." J'avais déjà mis ceci dans mes règles : IPTABLES -A FORWARD -i $EXTERNAL_IF -m state --state RELATED, ESTABLISHED -j ACCEPT n'est-ce pas tout ce qu'il faut ? " C'est normal que le module soit vu "unused". Il est utilisé magiquement" quand besoin s'en fait sentir." Et pourquoi alors quand le besoin s'en fait sentir, il reste unused ? Merci. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
--
eMahoo
Cordialement,
Eric SCHAEFFER
eMahoo
1 rue de la digue
78 600 Maisons-Laffitte
http://www.emahoo.com
[EMAIL PROTECTED]
[EMAIL PROTECTED]
