Iptables FTP passive

Bonjour,

Depuis peu je suis obligé de mettre NEW dans ma règle de sortie IPTABLE pour que le FTP passif fonctionne voici mon script:

iptables -F

iptables -X

iptables -t nat -X

iptables -t nat -F

iptables -t filter -P INPUT DROP

iptables -t filter -P OUTPUT DROP

iptables -t filter -P FORWARD DROP

  modprobe nf_conntrack_ftp
  modprobe nf_nat_ftp
  iptables -A OUTPUT -o eth3 -s 164.177.42.25 -p tcp --dport ftp -j ACCEPT
  iptables -A OUTPUT -o eth3 -s 164.177.42.25 -p tcp --dport ftp-data -j ACCEPT
  iptables -A OUTPUT -o eth3 -s 164.177.42.25 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Pourquoi sans le new les connections ne sont font pas?

Merci d’avance

“Depuis peu”, ce ne serait pas depuis l’installation d’une nouvelle version du noyau Linux ?
A partir d’une certaine version du noyau, l’affectation automatique d’un “helper” de conntrack à une connexion maître est désactivée par défaut pour des raisons de sécurité. Résultat : si on ne fait rien, le premier paquet d’une connexion liée n’est plus classé dans l’état RELATED mais NEW, comme une connexion indépendante.

Deux solutions :

• réactiver l’affectation automatique avec une option du module nf_conntrack ;
• ajouter une règle iptables dans la table “raw” pour affecter explicitement un helper à une connexion avec la cible “CT”.

Détails dans https://home.regit.org/netfilter-en/secure-use-of-helpers/

Effectivement il s’agit bien d’ une mise à jour du noyau
je creuse ton lien.
Merci encore