IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Iiptables : sftp + ssh = un Bug.


Sujet :

Sécurité

  1. #1
    Nouveau membre du Club
    Homme Profil pro
    Inscrit en
    Mai 2011
    Messages
    24
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Mai 2011
    Messages : 24
    Points : 36
    Points
    36
    Par défaut Iiptables : sftp + ssh = un Bug.
    Bonjour,

    Tous marchait très bien avant que je décide de sécuriser ssh en indiquant @IP d'une machine...

    dans iptables, j'avait ça :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
     
    ...
    iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
     
    iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
     
    iptables -P INPUT DROP
    ...
    Bien évidement les autres régles de ftp etc et FTP/SSH marchait très bien.

    J'ai modifié par cela
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
     
    ...
    iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
     
    iptables -A INPUT -i eth0 -p tcp -s 87.15.159.158 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
     
    iptables -P INPUT DROP
    ...
    mais tous le monde accès en ssh à moins que je commente la ligne suivante :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    # iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
    Maintenant il n'y a que @IP (87.15.159.158) a accès mais ftp ne fonctionne plus...(Si dé-commente alors ftp fonctionne)

    Je n'ai pas touché les règles ftp mais ftp focntionne pas. (jutilise filezilla avec sftp)

    J'ai besoin d'une révélation SVP

    N'est-ce pas la ligne que je commente est :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    # iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
    permet à une connexion déjà ouverte de recevoir du trafic???
    à quoi ça sert pourquoi cette ligne ouvre tout?
    cf: http://doc.ubuntu-fr.org/iptables

  2. #2
    Membre actif
    Homme Profil pro
    Inscrit en
    Avril 2004
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations forums :
    Inscription : Avril 2004
    Messages : 91
    Points : 223
    Points
    223
    Par défaut
    Salut!

    Quel est lemode utilisé par ton serveur ftp ?
    Est-ce que tu as chargé le module ip_conntrack ?

    A+
    First, they ignore you. Then, they laught at you.Then, they fight you. Then, you win.

    Mohandas Gandhi

  3. #3
    Nouveau membre du Club
    Homme Profil pro
    Inscrit en
    Mai 2011
    Messages
    24
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Mai 2011
    Messages : 24
    Points : 36
    Points
    36
    Par défaut
    Déjà, j'ai appris quelque chose :

    - mon serveur FTP est proftpd et je l’arrête en faisant ça :
    - ensuite j'ai commenté tous les lignes lien avec ftp(20/21) dans ma iptables. En gros, on n'a aucun accès ftp...

    Mais je passe avec Filezilla par protocole SFTP. Je ne savais pas que pour SFTP pas besoin d'un serveur ftp...bref c'est cool, j'ai un accès SFTP.

    J'ai toujours le problème :
    Si je commente la ligne suivante :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
    je n'ai plus accès SFTP.

    Si je la laisse alors n'importe d'où on accède en SSH et mes règles suivant ne s'applique pas :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    iptables -A INPUT -i eth0 -p tcp -s 87.15.159.158 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
    ne comprends rien...aidez moi svp

  4. #4
    Membre actif
    Homme Profil pro
    Inscrit en
    Avril 2004
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations forums :
    Inscription : Avril 2004
    Messages : 91
    Points : 223
    Points
    223
    Par défaut
    Ben non c'est pas cool
    Faire du SFTP, ca veut dire fabriquer des paquets FTP, et que tu envoie ensuite en ssh, donc sur le port 22. (En clair, c'est du FTP over SSH)

    Tu ne peux donc pas filtrer en utilisant le numero de port et l'adresse.

    essaie de trouver d'autres critères de filtrage, ou des restrictions directement dans le serveur SSH.

    Bon courage.
    First, they ignore you. Then, they laught at you.Then, they fight you. Then, you win.

    Mohandas Gandhi

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [OpenSSH] sftp, ssh
    Par Bahan_auboulot dans le forum Sécurité
    Réponses: 1
    Dernier message: 04/11/2008, 18h17
  2. Prison ssh + sftp
    Par elfangelis dans le forum Debian
    Réponses: 0
    Dernier message: 03/09/2007, 21h52
  3. Serveur de fichier securise SFTP (SSH FTP)
    Par iag_1980 dans le forum SUSE
    Réponses: 4
    Dernier message: 21/03/2007, 14h39
  4. Redirection Sftp avec ssh
    Par mkdual dans le forum Administration système
    Réponses: 8
    Dernier message: 25/07/2006, 13h10
  5. SFTP, SSH et indy 10
    Par jeromelef dans le forum Web & réseau
    Réponses: 1
    Dernier message: 13/07/2005, 19h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo