Désolé si cette question est stupide, mais pour obtenir des connexions FTP actives sortantes via notre pare-feu, nous devons exécuter les opérations suivantes:
Sudo modprobe ip_conntrack_ftp
J'ai appris cette astuce de http://major.io/2007/07/01/active-ftp-connections-through-iptables/
Dans cet article, il est dit de persister, je devrais ajouter
IPTABLES_MODULES="ip_conntrack_ftp"
à /etc/sysconfig/iptables-config
Mais je ne suis pas sûr que ce soit correct pour Ubuntu. Devrais-je plutôt ajouter ip_conntrack_ftp
au bas de /etc/modules
?
Merci.
Oui, vous pouvez ajouter ip_conntrack_ftp
à /etc/modules
. Soyez attentif, vous n'avez pas besoin d'entrer la commande modprobe, juste le nom du module du noyau!
Veuillez noter que si vous utilisez un port ftp non standard/personnalisé, vous pouvez simplement ajouter ports=<portnumber>
à la fin de la ligne.
Pour un exemple spécifique, HylaFax utilise le protocole FTP et commence les connexions en utilisant le port 4559 comme port de contrôle, puis ouvre les ports FTP passifs who-know-where. Tout ce que vous avez à faire avec un port FTP personnalisé de 4559 est Sudo vi /etc/modules
puis ajoutez une nouvelle ligne à la fin du fichier avec ip_conntrack_ftp ports=4559
.
Redémarrez et vous devriez être prêt à partir!
Si vous avez plus d'un service ftp, vous pouvez également utiliser ports=21,4559
par exemple.
Pour que cela fonctionne, vous aurez également besoin des règles IPTABLES
correspondantes:
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 4559 -j ACCEPT