Tâche #25456
Scénario #25287: Les accès FTP ne fonctionne pas - SCRIBE-T06-001 - Vérification accès FTP (2.7.0-b1)
Repasser le test pour prendre connaissance du problème
Historique
#1 Mis à jour par Scrum Master il y a plus de 5 ans
- Statut changé de Nouveau à En cours
#2 Mis à jour par Scrum Master il y a plus de 5 ans
- Assigné à mis à Gérald Schwartzmann
#4 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans
le telnet sur le port 21 fonctionne depuis le client
#5 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans
Le client FTP doit impérativement être en mode actif, il semble que le test n'en parle pas.
Sur un scribe 2.7.0 aca il n'y a pas de problème. Le module Amon est donc responsable.
Le flux sur le port 20 ne passent pas.
Avec un module Amon 2.6.2 pas de souci
Après l'ajout d'une règle iptables ça passe :
iptables -I FORWARD -p tcp -m tcp --sport 20 -j ACCEPT
conntrack est chargé
2.6 root@amon:~# lsmod | grep conn nf_conntrack_tftp 16384 1 nf_nat_tftp nf_conntrack_ftp 20480 1 nf_nat_ftp xt_conntrack 16384 87 nf_conntrack_ipv4 20480 88 nf_defrag_ipv4 16384 1 nf_conntrack_ipv4 nf_conntrack 106496 9 nf_nat_ftp,nf_nat,nf_nat_ipv4,nf_nat_tftp,xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_ftp,nf_conntrack_ipv4,nf_conntrack_tftp x_tables 36864 12 xt_time,ip_tables,xt_tcpudp,ipt_MASQUERADE,xt_limit,xt_conntrack,xt_LOG,xt_nat,xt_set,iptable_filter,xt_REDIRECT,iptable_mangle root@amon:~# lsmod | grep ftp nf_nat_tftp 16384 0 nf_conntrack_tftp 16384 1 nf_nat_tftp nf_nat_ftp 16384 0 nf_conntrack_ftp 20480 1 nf_nat_ftp nf_nat 28672 6 nf_nat_ftp,nf_nat_redirect,nf_nat_ipv4,nf_nat_tftp,xt_nat,nf_nat_masquerade_ipv4 nf_conntrack 106496 9 nf_nat_ftp,nf_nat,nf_nat_ipv4,nf_nat_tftp,xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_ftp,nf_conntrack_ipv4,nf_conntrack_tftp root@amon:~# 2.7 root@amon:~# lsmod | grep ftp nf_nat_tftp 16384 0 nf_conntrack_tftp 16384 1 nf_nat_tftp nf_nat_ftp 16384 0 nf_conntrack_ftp 20480 1 nf_nat_ftp nf_nat 32768 5 nf_nat_ftp,nf_nat_redirect,nf_nat_ipv4,xt_nat,nf_nat_tftp nf_conntrack 131072 10 xt_conntrack,nf_conntrack_ipv4,nf_nat,nf_conntrack_tftp,nf_nat_ftp,nf_nat_ipv4,xt_nat,nf_nat_tftp,nf_conntrack_ftp,xt_REDIRECT root@amon:~#
conntrak ne semble pas faire son travail
kernel 4.15.0-38-generic
conntrack -E | grep 20 ne renvoie rien
#6 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans
- Statut changé de En cours à Résolu
#7 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans
- Temps estimé mis à 0.00 h
- Restant à faire (heures) mis à 0.0
#8 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans
\o/
http://debian-facile.org/doc:reseau:iptables-pare-feu-pour-un-client
Depuis debian Stretch, conntrack ne va plus étiqueter les paquets en RELATED, sauf pour le protocole icmp.
https://linuxfr.org/forums/linux-noyau/posts/acceder-a-un-serveur-ftp-depuis-une-passerelle
https://home.regit.org/netfilter-en/secure-use-of-helpers/
FWIW, it seems that there was a change in kernel 4.7, so that you either need to set net.netfilter.nf_conntrack_helper=1 via sysctl (e.g. put it in /etc/sysctl.d/conntrack.conf) or use iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp
echo "1" > /proc/sys/net/netfilter/nf_conntrack_helper
root@zephir:~# cat /etc/eole/release EOLE_MODULE=zephir EOLE_VERSION=2.6 EOLE_RELEASE=2.6.2 root@zephir:~# uname -a Linux zephir 4.4.0-138-generic
root@amon:~# cat /etc/eole/release EOLE_MODULE=amon EOLE_VERSION=2.7 EOLE_RELEASE=2.7.0 root@amon:~# uname -a Linux amon 4.15.0-38-generic
#9 Mis à jour par Joël Cuissinat il y a plus de 5 ans
- Statut changé de Résolu à Fermé
- % réalisé changé de 0 à 100