[Résolu] iptables FTP et VPN Windows

Support Debian
#1

Bonjour,
je me rends bien compte qu’il y a tout un tas de sujets ouverts sur IPTABLES et VPN mais quasiment jamais ensemble ou alors, je n’ai jamais trouvé les infos qu’il me fallait…
Voila, je suis admin réseau en stage dans une entreprise et je ne suis pas une star en IPTABLES. Le firewall IPTABLES sous debian était déjà installé avant que j’arrive.
Aujourd’hui, j’aimerais rajouter quelques règles :

  • Autoriser l’accès à un serveur VPN qui est dans une autre entreprise avec laquelle on doit travailler.
  • Autoriser le ftp pour pouvoir faire les mises à jour de notre site internet.
    Quelles sont les infos que je dois récolter pour faire fonctionner ces règles. Je vous mets quand même ce que j’ai fait pour voir si c’est bon ?

#Autoriser VPN

iptables -A INPUT -i $lan -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -i $lan -p udp --dport 1194 -j ACCEPT

iptables -A OUTPUT -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT

#Autoriser ftp

iptables -A INPUT -i $lan -p tcp --dport 21 -j ACCEPT

iptables -A OUTPUT -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT

Je pense que le VPN Windows 2003 utilise d’autres ports mais je n’ai pas réussi à trouver lesquels alors j’ai mis ceux de OpenVPN (1194).
Faut-il également renseigner l’@IP du serveur et du client VPN ?

Merci à tous ceux qui penseront à moi et qui répondront à ce topic !
Salut à tous !
ccc29.

#2

hello,

tcpdump+etherall.

#3

tcpdump + ethereal, je veux bien mais je voudrais savoir si ça roule avant de le mettre en production car tout le réseau de l’entreprise passe par ce FW pour accéder au net donc c’est un peu chaud de lancer et de tester à l’arrach’…
Est-ce possible de savoir si les règles sont bonnes et si cela fonctionne comme ça ?
Merci quand même pour ta réponse mais je ne peux vraiment pas lancer ce script en prod’ tant que je ne suis pas un peu plus sur !
Salut !
ccc29

#4

Salut, je tente un petit up’ pour se qui aurait une idée sur mon…
On me fait un petit peu comprendre que c’est urgent ds ma boite…
TCHO !
ccc29.

#5

En ce qui concerne VPN + IPTABLES :

http://forum.debian-fr.org/viewtopic.php?t=6050&highlight=

Pour le FTP, je fais un petit tuto :

pour information, il existe le FTP Actif et le FTP passif ! Il faut donc laisser passer les deux. Libre à vous d’aller lire les RFC pour bien comprendre les principes du FTP (établissement de connexions…) ! Moi, je trouve qu’on demande toujours aux gens de tout comprendre… Parfois, on veut juste pouvoir faire marcher du FTP derrière un FW ! Ce tuto est pour vous !

Voila les règles IPTABLES (à adapter un minimum pour votre cas…) pour laisser passer le FTP derrière un FW IPTABLES :

#Autoriser FTP de mon PC vers Internet

iptables -A FORWARD -i $lan -o $wan -p tcp --dport 21 -s “@_IP_de_mon_PC” -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -p tcp --sport 21 -d “@_IP_de_mon_PC” -m state --state ESTABLISHED -j ACCEPT

#Autoriser FTP Actif

iptables -A FORWARD -i $lan -o $wan -p tcp --dport 20 -s “@_IP_de_mon_PC” -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -p tcp --sport 20 -d “@_IP_de_mon_PC” -m state --state RELATED,ESTABLISHED -j ACCEPT

#Autoriser FTP Passif

iptables -A FORWARD -i $lan -o $wan -p tcp --dport 1024: -s “@_IP_de_mon_PC” -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -p tcp --sport 1024: -d “@_IP_de_mon_PC” -m state --state ESTABLISHED -j ACCEPT

Et surtout ne pas oublier ces règles, sinon ça ne marchera pas !!!

#Autoriser FTP du Firewall vers le LAN

iptables -A OUTPUT -o $lan -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $lan -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

#Autoriser FTP Actif

iptables -A OUTPUT -o $lan -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i $lan -p tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Autoriser FTP Passif

iptables -A OUTPUT -o $lan -p tcp --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $lan -p tcp --sport 1024: -m state --state ESTABLISHED -j ACCEPT

Voila les p’tits gars !!!
A+.
ccc29.

#6

et pour complèter: le ftp actif ne traverse un routeur faisant du masquerading que si on pense à charger le module ip_nat_ftp.

#7

Et le module ip_conntrack_ftp si je ne dis pas de conneries… :unamused:
Merci Mattotop, toujours fidèle au poste !

N.B : pour charger les modules en questions :

#modprobe ip_nat_ftp
#modprobe ip_conntrack_ftp

A+.
ccc29.

#8

je crois que le module de conntrack ne sert que pour activer des fonctionnalités de suivi, mais que son absence ne gène pas (à vérifier).