Il est s\u00fbrement arriv\u00e9 \u00e0 plus d’un de vouloir laisser passer un flux FTP sur leur pare-feu NetFilter : Quoi de plus normal ?<\/p>\n\n\n\n
Survient alors le fameux \u00e9pisode du module ip_conntrack_ftp<\/em>, voir en prime ip_nat_ftp<\/em> dans le cas d’une translation d’adresse. On se renseigne sur la diff\u00e9rence entre active mode et passive mode c\u00f4t\u00e9 FTP, on rajoute quelques lignes dans NetFilter, puis on finit par tester le tout : \u00e7a ne fonctionne pas … Ou tout du moins qu’en partie.<\/p>\n\n\n\n On \u00e9pluche les logs et on se rend finalement compte que l’authentification s’est correctement effectu\u00e9e, mais que cela bloque d\u00e8s lors qu’une commande est envoy\u00e9e : Mais pourquoi donc ? Vient alors la d\u00e9couverte du module ip_conntrack_ftp<\/em>, la solution \u00e0 tous nos soucis. Un suivi de connexion effectu\u00e9 par iptables rien que pour le FTP : n’est ce pas merveilleux ? On s’empresse alors de charger ce fameux module :<\/p>\n\n\n\n Puis on relance notre test afin de s’assurer que tout fonctionne.<\/p>\n\n\n\n Cependant nous aimerions bien mettre en place une petite translation de destination. Dans ce cas, nous pensons \u00e0 bien charger le module ad\u00e9quat :<\/p>\n\n\n\n Il nous vient soudain une id\u00e9e : Pourquoi ne pas changer le port par d\u00e9faut de notre serveur FTP ? 45 au lieu de 21, \u00e7a semble pas mal \u00e7a ? Sachant qu’en plus de cela nous avons un autre serveur FTP qui est \u00e0 l’\u00e9coute sur le port 44.<\/p>\n\n\n\n On se rend finalement compte que cela ne fonctionne plus, de nouveau. En effet il faut indiquer \u00e0 ce cher module ip_conntrack_ftp le(s) port(s) que ce dernier doit g\u00e9rer. Pour ceci, l’option ports est des plus remarquable :<\/p>\n\n\n\n Si le module en question \u00e9tait d\u00e9j\u00e0 charg\u00e9, il est bien s\u00fbr n\u00e9cessaire de le d\u00e9charger avant de le charger avec la commande pr\u00e9c\u00e9dente :<\/p>\n\n\n\n Il peut \u00eatre enfin appr\u00e9ciable de faire en sorte que tout cela se charge au d\u00e9marrage de la machine. Sur une distribution telle que GNU\/Linux Debian Etch, deux fichiers s’av\u00e8rent n\u00e9cessaires :<\/p>\n\n\n\n On red\u00e9marre notre machine et voil\u00e0 que tout semble fonctionner du premier coup : Que du bonheur !<\/p>\n","protected":false},"excerpt":{"rendered":" Il est s\u00fbrement arriv\u00e9 \u00e0 plus d’un de vouloir laisser passer un flux FTP sur leur pare-feu NetFilter : Quoi de plus normal ? Survient alors le fameux \u00e9pisode du module ip_conntrack_ftp, …<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[47,61,48],"class_list":["post-78","post","type-post","status-publish","format-standard","hentry","category-computing","tag-conntrack","tag-ftp","tag-netfilter"],"_links":{"self":[{"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=\/wp\/v2\/posts\/78","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=78"}],"version-history":[{"count":1,"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=\/wp\/v2\/posts\/78\/revisions"}],"predecessor-version":[{"id":79,"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=\/wp\/v2\/posts\/78\/revisions\/79"}],"wp:attachment":[{"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=78"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=78"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.n3oxid.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=78"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}# modprobe ip_conntrack_ftp<\/code><\/p>\n\n\n\n# modprobe ip_nat_ftp<\/code><\/p>\n\n\n\n# modprobe ip_conntrack_ftp ports=44,45<\/code><\/p>\n\n\n\n# rmmod ip_conntrack_ftp<\/code><\/p>\n\n\n\n