Tâche #25456: Repasser le test pour prendre connaissance du problème - Distribution EOLE - Ensemble Ouvert Libre Évolutif

Tâche #25456

Scénario #25287: Les accès FTP ne fonctionne pas - SCRIBE-T06-001 - Vérification accès FTP (2.7.0-b1)

Repasser le test pour prendre connaissance du problème

Ajouté par Gérald Schwartzmann il y a plus de 5 ans. Mis à jour il y a plus de 5 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Gérald Schwartzmann

Version cible:

sprint 2018 41-43 Equipe MENSR

Début:

08/10/2018

Echéance:

% réalisé:

100%

Temps estimé:

0.00 h

Temps passé:

4.00 h

Restant à faire (heures):

0.0

Historique

#1 Mis à jour par Scrum Master il y a plus de 5 ans

Statut changé de Nouveau à En cours

#2 Mis à jour par Scrum Master il y a plus de 5 ans

Assigné à mis à Gérald Schwartzmann

#3 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans

http://squash-tm.eole.lan/squash/test-cases/1765/info
http://squash-tm.eole.lan/squash/executions/7831

#4 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans

le telnet sur le port 21 fonctionne depuis le client

#5 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans

Le client FTP doit impérativement être en mode actif, il semble que le test n'en parle pas.

Sur un scribe 2.7.0 aca il n'y a pas de problème. Le module Amon est donc responsable.

Le flux sur le port 20 ne passent pas.

Avec un module Amon 2.6.2 pas de souci

Après l'ajout d'une règle iptables ça passe :

iptables -I FORWARD -p tcp -m tcp --sport 20 -j ACCEPT

conntrack est chargé

2.6

root@amon:~# lsmod  | grep conn
nf_conntrack_tftp      16384  1 nf_nat_tftp
nf_conntrack_ftp       20480  1 nf_nat_ftp
xt_conntrack           16384  87
nf_conntrack_ipv4      20480  88
nf_defrag_ipv4         16384  1 nf_conntrack_ipv4
nf_conntrack          106496  9 nf_nat_ftp,nf_nat,nf_nat_ipv4,nf_nat_tftp,xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_ftp,nf_conntrack_ipv4,nf_conntrack_tftp
x_tables               36864  12 xt_time,ip_tables,xt_tcpudp,ipt_MASQUERADE,xt_limit,xt_conntrack,xt_LOG,xt_nat,xt_set,iptable_filter,xt_REDIRECT,iptable_mangle

root@amon:~# lsmod  | grep ftp
nf_nat_tftp            16384  0
nf_conntrack_tftp      16384  1 nf_nat_tftp
nf_nat_ftp             16384  0
nf_conntrack_ftp       20480  1 nf_nat_ftp
nf_nat                 28672  6 nf_nat_ftp,nf_nat_redirect,nf_nat_ipv4,nf_nat_tftp,xt_nat,nf_nat_masquerade_ipv4
nf_conntrack          106496  9 nf_nat_ftp,nf_nat,nf_nat_ipv4,nf_nat_tftp,xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_ftp,nf_conntrack_ipv4,nf_conntrack_tftp
root@amon:~#

2.7

root@amon:~# lsmod | grep ftp
nf_nat_tftp            16384  0
nf_conntrack_tftp      16384  1 nf_nat_tftp
nf_nat_ftp             16384  0
nf_conntrack_ftp       20480  1 nf_nat_ftp
nf_nat                 32768  5 nf_nat_ftp,nf_nat_redirect,nf_nat_ipv4,xt_nat,nf_nat_tftp
nf_conntrack          131072  10 xt_conntrack,nf_conntrack_ipv4,nf_nat,nf_conntrack_tftp,nf_nat_ftp,nf_nat_ipv4,xt_nat,nf_nat_tftp,nf_conntrack_ftp,xt_REDIRECT
root@amon:~#

conntrak ne semble pas faire son travail
kernel 4.15.0-38-generic

conntrack -E | grep 20 ne renvoie rien

#6 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans

Statut changé de En cours à Résolu

#7 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans

Temps estimé mis à 0.00 h
Restant à faire (heures) mis à 0.0

#8 Mis à jour par Gérald Schwartzmann il y a plus de 5 ans

\o/

http://debian-facile.org/doc:reseau:iptables-pare-feu-pour-un-client

Depuis debian Stretch, conntrack ne va plus étiqueter les paquets en RELATED, sauf pour le protocole icmp.

https://linuxfr.org/forums/linux-noyau/posts/acceder-a-un-serveur-ftp-depuis-une-passerelle

https://home.regit.org/netfilter-en/secure-use-of-helpers/


FWIW, it seems that there was a change in kernel 4.7, so that you either need to set net.netfilter.nf_conntrack_helper=1 via sysctl (e.g. put it in /etc/sysctl.d/conntrack.conf) or use

iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp

echo "1" > /proc/sys/net/netfilter/nf_conntrack_helper

root@zephir:~# cat /etc/eole/release 
EOLE_MODULE=zephir
EOLE_VERSION=2.6
EOLE_RELEASE=2.6.2
root@zephir:~# uname -a
Linux zephir 4.4.0-138-generic

root@amon:~# cat /etc/eole/release 
EOLE_MODULE=amon
EOLE_VERSION=2.7
EOLE_RELEASE=2.7.0
root@amon:~# uname -a
Linux amon 4.15.0-38-generic

#9 Mis à jour par Joël Cuissinat il y a plus de 5 ans

Statut changé de Résolu à Fermé
% réalisé changé de 0 à 100

Formats disponibles : Atom PDF

Projet

Général

Profil

Distribution EOLE

Demandes

Rapports personnalisés