Bonjour à tous,
 
Je suis en train de faire un script iptables pour une station. Cette station est destinée à être placée chez des clients, et elle doit être particulièrement blindée (un vrai trou noir ). Elle ne doit pas avoir le rôle de passerelle, simplement un client. Elle héberge un serveur FTP ainsi qu'un serveur ssh.  
Elle devra également être capable d'être client FTP (passif ou actif) et DNS. Pas de HTTP en vue.
Je dois contrôler absolument tous les flux, que cela soit en entrée ou en sortie.
 
Pour l'instant, j'obtiens ce script :

 
Ce qui ne me plait pas vraiment ce sont les dernières lignes en gras. En effet, à cause d'elles je ne contrôle plus vraiment mes sorties (et entrées) puisque j'accepte tout ce qui est déjà établis, et ce n'est pas le but.
 
Je pensais qu'avec le module conntrack_ftp, j'aurai la possibilité de n'autoriser, en entrée et sortie, que les flux de type FTP établis. Je suis persuadé qu'il est possible de le faire, mais je n'arrive pas à trouver comment ?
 
Merci de votre aide précieuse

Et bien voila la solution existe bien
 
Il faut pour cela se servir du module helper : mon script devient donc :

 
Ainsi je n'autorise bien en sortie et en entrée que les flux dont les connexions sont déjà établies et dont le protocole est FTP.
 
A noter, il est nécessaire de spécifier le port utilisé par le port de commande du serveur FTP distant (ici 21, celui par défaut) au module helper ftp (--helper ftp-portnumber).
Ainsi, si dans le futur je dois aussi aller sur un serveur FTP distant qui écoute sur le port 2100 par exemple, il faudra ajouter les règles en conséquence.
 
En espérant que cela soit utile, car après pas mal de recherche je n'ai rien trouvé de tel sur ce forum

Oui ca peut etre utile
(flag pour plus tard)

utile, oui. Merci

J'ai un petit souci avec cette partie du script : (passif du serveur FTP)
 

 
Kan je me connecte, j'arrive a me connecter, mais ca ne liste pas
Il manquerais pas un NEW ou un REALTED kelque part ?

Je viens de regarder mes logs iptables, apparement il bloque une sortie depuis le port 20 de mon serveur ftp.
Pourtant je suis en passif, mais bon, je vais ouvrir

tutut tu vas ouvrir rien, et regarder si tu as loader les modules qui vont bien pour le suivit de connexions FTP
 
ip_conntrack_ftp
ipt_conntrack
ip_conntrack  
ip_nat_ftp si tu as besoin de faire du nat dans le coin

/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
 
comment j'ai pu oublier ip_conntrack_ftp
 
Il servent à quoi les 2 suivant ? ipt_contrack et ip_conntrack ?

mais m*rde, ca marche toujours po

bon, pour vous faire rire :
J'en avais marre de naviguer dans les logs, qui sont truffés de [Logs accept], j'ai une idée brillante, qui est de commenter les lignes ou je log les packets acceptés, Comme ca, j'ai plus plus que les logs_drop.
Brillant...non, j'ai plus accès à mon serveur. (suis sur un site distant).
Plus de ssh, ftp...
Humm, les l'idée était bonne en théorie...

Ha c'est la boulette

 
Oui    
Bon, c'est réparé maintenant  

Juste pour dire merci à l'auteur de cette aide concernant les flux ftp et iptables    
Très très utile!!!