Iptables host unknown

Support Debian
#1

Bonjour ou bonsoir tout le monde
Voilà cela fais quelques jours que j’essaye de configurer iptables. En fait j’ai mis les commandes dans un fichier et il s’exécute bien. Mais je suis confronté à quelques problème.

  1. Je n’arrive pas à utiliser mon lecteur streaming j’ai comme erreur[quote]“couldn’t resolve host name”[/quote]
  2. Mon ftp marche j’arrive à me connecter mais filezilla n’arrive pas à acceder aux fichier j ai cette erreur[quote]Status: Connecting to 192.168.1.12:21…
    Status: Connection established, waiting for welcome message…
    Response: 220 ProFTPD 1.3.3a Server (Debian) [192.168.1.12]
    Command: USER *******
    Response: 331 Password required for ******
    Command: PASS *******
    Response: 230 User ******** logged in
    Command: OPTS UTF8 ON
    Response: 200 UTF8 set to on
    Status: Connected
    Status: Retrieving directory listing…
    Command: PWD
    Response: 257 “/” is the current directory
    Command: TYPE I
    Response: 200 Type set to I
    Command: PASV
    Response: 227 Entering Passive Mode (192,168,1,12,177,165).
    Command: MLSD
    Error: Connection timed out
    Error: Failed to retrieve directory listing[/quote]

    Pourtant mon ssh marche toujours
    Voila le contenu de mon fichier
    [b][quote]#!/bin/sh
    #Mise a zero
    iptables -t filter -F
    iptables -t filter -X

#interdictions de toute les connexions
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
echo “INTERDICTION OK”

#on laisse les connections actuelles actives
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo “CONNEXION ACTIVE OK”

#AUTORISE LE LOOPBACK
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo “LOOPBACCK OK”

#icmp pour les ping
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -p icmp -j ACCEPT
echo “PING OK”

#ssh IN/OUT
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
echo “SSH OK”

#FTP IN/OUT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 20 -j ACCEPT
echo “FTP OK”

#web
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
echo " WEB OK"

#DNS IN/OUT tcp et udp
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
echo " DNS OK"[/quote]
[/b]
3) Jarrive même pas à pinger google à partir du serveur.
[quote]root@sirius:~# ping google.fr
ping: unknown host google.fr[/quote]

je pense que c est de là que viens mon problème couldn’t resolve host name
J arrive pas vraiment pas à comprendre d’où le problème viens si vous avez des solutions je suis preneur Merci. J attends vos réponses avec impatience
Ps: apache aussi marche normalement

#2

Pour FTP, il faut charger le module de suivi de connexion FTP.

Accessoirement, les règles avec le port 20 ne servent à rien.

Pour DNS, tes règles sont identiques deux à deux et aucune n’accepte UDP en OUTPUT, c’est ce qui manque. Erreur de copier/coller.

#3

yess c’est bon ça marche j’arrive à pinger google t’avais raison j’ai oublier de modifier cette ligne. Bravo vim.
Le [quote]modprobe nf_conntrack_ftp[/quote] aussi marche mais j’ai pas trop compris à quoi sert cette ligne. Parce que si je n’active iptables le ftp marche sans cette ligne de commande. A quoi sert elle concrètement?

[quote]man nf_conntrack_ftp
No manual entry for nf_conntrack_ftp
[/quote]

#4

Pour afficher des informations (succintes) sur un module du noyau, utilise modinfo plutôt que man.
Le module nf_conntrack_ftp sert à marquer les connexion de données FTP comme RELATED.
Ce que tu as copié est la transcription du dialogue entre client et serveur dans la connexion de commande, sur le port 21. Les données (fichiers, listage de répertoire) ne passent pas dans cette connexion de commande mais dans une connexion de données qui utilise un port aléatoire. En mode passif comme ici (commande PASV), le port est choisi par le serveur et communiqué au client sous forme des deux derniers nombres dans la réponse à la commande PASV : 177,165 -> (177*256 + 165) = 45477. Le module nf_conntrack_ftp surveille le dialogue sur la connexion de commande, et peut créer une “attente” (“expectation” en anglais) sur la connexion de données utilisant ce port qui sera marquée dans l’état RELATED (et acceptée par la règle iptables au début de ton script) au lieu de NEW comme habituellement (et donc bloquée puisqu’il n’y a pas de règle pour l’accepter).

#5

ouhhh je suis bluffé :open_mouth: :open_mouth: :open_mouth: .
Vous avez quoi 50ans d experience? si c est pas indiscret
J’ai l’impression de parler à linus. Merci :023

#6

Non, mais j’aime bien savoir comment fonctionne ce que j’utilise alors je m’informe, je lis et j’observe. Dans les grandes lignes, le protocole FTP n’est pas si compliqué.

#7

En tout cas merci pour votre réponse je commençais vraiment à vouloir renoncer.