Tâche #25456
Scénario #25287: Les accès FTP ne fonctionne pas - SCRIBE-T06-001 - Vérification accès FTP (2.7.0-b1)
Repasser le test pour prendre connaissance du problème
History
#1 Updated by Scrum Master almost 5 years ago
- Status changed from Nouveau to En cours
#2 Updated by Scrum Master almost 5 years ago
- Assigned To set to Gérald Schwartzmann
#4 Updated by Gérald Schwartzmann almost 5 years ago
le telnet sur le port 21 fonctionne depuis le client
#5 Updated by Gérald Schwartzmann almost 5 years ago
Le client FTP doit impérativement être en mode actif, il semble que le test n'en parle pas.
Sur un scribe 2.7.0 aca il n'y a pas de problème. Le module Amon est donc responsable.
Le flux sur le port 20 ne passent pas.
Avec un module Amon 2.6.2 pas de souci
Après l'ajout d'une règle iptables ça passe :
iptables -I FORWARD -p tcp -m tcp --sport 20 -j ACCEPT
conntrack est chargé
2.6 root@amon:~# lsmod | grep conn nf_conntrack_tftp 16384 1 nf_nat_tftp nf_conntrack_ftp 20480 1 nf_nat_ftp xt_conntrack 16384 87 nf_conntrack_ipv4 20480 88 nf_defrag_ipv4 16384 1 nf_conntrack_ipv4 nf_conntrack 106496 9 nf_nat_ftp,nf_nat,nf_nat_ipv4,nf_nat_tftp,xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_ftp,nf_conntrack_ipv4,nf_conntrack_tftp x_tables 36864 12 xt_time,ip_tables,xt_tcpudp,ipt_MASQUERADE,xt_limit,xt_conntrack,xt_LOG,xt_nat,xt_set,iptable_filter,xt_REDIRECT,iptable_mangle root@amon:~# lsmod | grep ftp nf_nat_tftp 16384 0 nf_conntrack_tftp 16384 1 nf_nat_tftp nf_nat_ftp 16384 0 nf_conntrack_ftp 20480 1 nf_nat_ftp nf_nat 28672 6 nf_nat_ftp,nf_nat_redirect,nf_nat_ipv4,nf_nat_tftp,xt_nat,nf_nat_masquerade_ipv4 nf_conntrack 106496 9 nf_nat_ftp,nf_nat,nf_nat_ipv4,nf_nat_tftp,xt_conntrack,nf_nat_masquerade_ipv4,nf_conntrack_ftp,nf_conntrack_ipv4,nf_conntrack_tftp root@amon:~# 2.7 root@amon:~# lsmod | grep ftp nf_nat_tftp 16384 0 nf_conntrack_tftp 16384 1 nf_nat_tftp nf_nat_ftp 16384 0 nf_conntrack_ftp 20480 1 nf_nat_ftp nf_nat 32768 5 nf_nat_ftp,nf_nat_redirect,nf_nat_ipv4,xt_nat,nf_nat_tftp nf_conntrack 131072 10 xt_conntrack,nf_conntrack_ipv4,nf_nat,nf_conntrack_tftp,nf_nat_ftp,nf_nat_ipv4,xt_nat,nf_nat_tftp,nf_conntrack_ftp,xt_REDIRECT root@amon:~#
conntrak ne semble pas faire son travail
kernel 4.15.0-38-generic
conntrack -E | grep 20 ne renvoie rien
#6 Updated by Gérald Schwartzmann almost 5 years ago
- Status changed from En cours to Résolu
#7 Updated by Gérald Schwartzmann almost 5 years ago
- Estimated time set to 0.00 h
- Remaining (hours) set to 0.0
#8 Updated by Gérald Schwartzmann almost 5 years ago
\o/
http://debian-facile.org/doc:reseau:iptables-pare-feu-pour-un-client
Depuis debian Stretch, conntrack ne va plus étiqueter les paquets en RELATED, sauf pour le protocole icmp.
https://linuxfr.org/forums/linux-noyau/posts/acceder-a-un-serveur-ftp-depuis-une-passerelle
https://home.regit.org/netfilter-en/secure-use-of-helpers/
FWIW, it seems that there was a change in kernel 4.7, so that you either need to set net.netfilter.nf_conntrack_helper=1 via sysctl (e.g. put it in /etc/sysctl.d/conntrack.conf) or use iptables -A PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp
echo "1" > /proc/sys/net/netfilter/nf_conntrack_helper
root@zephir:~# cat /etc/eole/release EOLE_MODULE=zephir EOLE_VERSION=2.6 EOLE_RELEASE=2.6.2 root@zephir:~# uname -a Linux zephir 4.4.0-138-generic
root@amon:~# cat /etc/eole/release EOLE_MODULE=amon EOLE_VERSION=2.7 EOLE_RELEASE=2.7.0 root@amon:~# uname -a Linux amon 4.15.0-38-generic
#9 Updated by Joël Cuissinat almost 5 years ago
- Status changed from Résolu to Fermé
- % Done changed from 0 to 100