ouioui, bien le port 21 non chiffré (toujours pas réussi à activer le SFTP/FTPS) mais ta règle est effectivement apparemment in-effective.
Pour du FTP non chiffré sur le port 21 avec le module nf_conntrack_ftp chargé, les règles acceptant les paquets dans l’état ESTABLISHED,RELATED en INPUT et OUTPUT et le port destination TCP 21 en INPUT devraient être suffisantes, en mode passif et actif.
comment charge-t-on le module nf_conntrack_ftp ? est ce qu’il faut ajouter un ? parce que tout les modules sont des fichiers objets (.so) qui commencent par un m_ comme module
Pour charger un module du noyau en ligne de commande ou dans un script :
On peut aussi le charger automatiquement au démarrage en ajoutant son nom dans le fichier /etc/modules.
un module du noyau ! ah ok ! j’avais cru un module de proftpd… j’essaye ça tout de suite
Edit: en activant ce module, en actif ça marche aussi, d’ailleurs
et au fait il fait quoi très exactement ce module ?
Le module nf_conntrack_ftp examine le contenu des connexions de commande (qui doivent être en clair, donc pas de chiffrement) sur les ports spécifiés par l’option “ports” (port 21 par défaut). Il recherche notamment les commandes de type PORT ou EPRT pour le mode actif ou les réponses aux commandes de type PASV ou EPSV pour le mode passif, qui contiennent le numéro de port choisi pour la connexion de données. Ensuite il peut créer une “expectation” qui a pour but de classer le premier paquet de la connexion de données dans l’état RELATED au lieu de NEW.
En bref cela permet l’ouverture de port dynamique pour les connexions de données FTP en acceptant les paquets dans l’état RELATED.
En conjonction avec le module nf_nat_ftp, cela permet aussi de faire la redirection de port dynamique pour une machine fonctionnant en routeur NAT.