Config iptables, soucis chargement de module

Support Debian
#1

Bonjour la compagnie,
un ami m’a demandé de configurer son pare-feu avec le minimum requis, jusque là ça va, bien que je sois pas un expert dans iptables je vous demande un coup de main pour pouvoir charger un module sur iptables au démarrage de la machine, ce module est ip_conntrack_ftp.
Comment faire ?

Voici le fichier de config iptables:

[code]# Generated by iptables-save v1.3.6 on Tue Jun 3 09:11:46 2008
*raw
:PREROUTING ACCEPT [1145:108183]
:OUTPUT ACCEPT [1141:549460]
COMMIT

Completed on Tue Jun 3 09:11:46 2008

Generated by iptables-save v1.3.6 on Tue Jun 3 09:11:46 2008

*mangle
:PREROUTING ACCEPT [1145:108183]
:INPUT ACCEPT [1145:108183]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1141:549460]
:POSTROUTING ACCEPT [1149:550068]
COMMIT

Completed on Tue Jun 3 09:11:46 2008

Generated by iptables-save v1.3.6 on Tue Jun 3 09:11:46 2008

*nat
:PREROUTING ACCEPT [68:22032]
:POSTROUTING ACCEPT [10:776]
:OUTPUT ACCEPT [25:1880]
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT

Completed on Tue Jun 3 09:11:46 2008

Generated by iptables-save v1.3.6 on Tue Jun 3 09:11:46 2008

*filter
:INPUT DROP [64:21840]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1146:549840]
-A INPUT -i lo -p tcp -m tcp --dport 22 -j LOG --log-prefix "Inbound "
-A INPUT -i lo -p tcp -m tcp --dport 3003 -j LOG --log-prefix "Inbound "
-A INPUT -i tun0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -j LOG
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s 82.166.13.106 -j DROP
-A INPUT -m iprange --src-range 82.166.13.1-82.166.13.254 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o tun0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i eth2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth2 -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -j LOG
-A OUTPUT -o tun0 -j ACCEPT
COMMIT

Completed on Tue Jun 3 09:11:46 2008

[/code]

la commande modprobe ip_conntrack_ftp me charge bien le module mais ne se charge plus une fois la machine redémarrée.

#2

Les actions de modprobe sont volatiles, comme celles d’iptables, ifconfig et compagnie. Pour qu’un module soit chargé au démarrage autrement que par dépendance ou détection automatique du matériel, on peut le lister dans /etc/modules.

Si la machine fait du NAT (je vois une règle MASQUERADE), le module ip_nat_ftp sera également sûrement nécessaire pour que les communications FTP soient correctement prises en charge.

#3

Dans mon fichier /etc/modules j’ai seulement loop
Je dois rajouter quel paramètre pour que ça soit pri en compte ?

#4

man modules
Il suffit d’ajouter les noms des modules à charger, un par ligne :

loop
ip_conntrack_ftp
ip_nat_ftp
#5

[quote=“PascalHambourg”]man modules
Il suffit d’ajouter les noms des modules à charger, un par ligne :

loop ip_conntrack_ftp ip_nat_ftp [/quote]

Un grand merci à toi :slightly_smiling: