# [ports] impossible d'ouvrir un port ..

## Dais

J'essaie d'ouvrir le port 2121 pour m'en servir en tant que port ftp extérieur (le 21 est pour le ftp local, et le port 21 du routeur est pour le ftp extérieur d'un autre pc).

Sauf que je n'arrive pas à l'ouvrir T_T nmap ne me le montre jamais ..

J'ai iptables d'installé et même de lancé. J'ai tenté de le configurer avec guarddog et même firestarter, rien n'y fait .. Même avec iptables non lancé, le port est totalement fermé .. du coup, je pense que ça ne vient pas d'iptables, mais alors d'où ?

/var/lib/iptables/rules-save

```
# Generated by iptables-save v1.2.11 on Thu Jul 28 15:31:58 2005

*nat

:PREROUTING ACCEPT [13672:2122097]

:POSTROUTING ACCEPT [6823:274472]

:OUTPUT ACCEPT [6832:274868]

COMMIT

# Completed on Thu Jul 28 15:31:58 2005

# Generated by iptables-save v1.2.11 on Thu Jul 28 15:31:58 2005

*mangle

:PREROUTING ACCEPT [51084:29648347]

:INPUT ACCEPT [51084:29648347]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [33483:14229156]

:POSTROUTING ACCEPT [33474:14228760]

COMMIT

# Completed on Thu Jul 28 15:31:58 2005

# Generated by iptables-save v1.2.11 on Thu Jul 28 15:31:58 2005

*filter

:INPUT DROP [3:450]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

:f0to1 - [0:0]

:f1to0 - [0:0]

:logaborted - [0:0]

:logaborted2 - [0:0]

:logdrop - [0:0]

:logdrop2 - [0:0]

:logreject - [0:0]

:logreject2 - [0:0]

:nicfilt - [0:0]

:s0 - [0:0]

:s1 - [0:0]

:srcfilt - [0:0]

[0:0] -A INPUT -i lo -j ACCEPT 

[0:0] -A INPUT -s 192.168.0.101 -d 192.168.0.255 -i eth0 -j ACCEPT 

[0:0] -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -m tcp --tcp-flags RST RST -j logaborted 

[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

[0:0] -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT 

[0:0] -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT 

[0:0] -A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT 

[35:5418] -A INPUT -j nicfilt 

[35:5418] -A INPUT -j srcfilt 

[0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 

[0:0] -A FORWARD -p icmp -m icmp --icmp-type 3 -j ACCEPT 

[0:0] -A FORWARD -p icmp -m icmp --icmp-type 11 -j ACCEPT 

[0:0] -A FORWARD -p icmp -m icmp --icmp-type 12 -j ACCEPT 

[0:0] -A FORWARD -j srcfilt 

[0:0] -A OUTPUT -o lo -j ACCEPT 

[0:0] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

[0:0] -A OUTPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT 

[0:0] -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT 

[0:0] -A OUTPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT 

[0:0] -A OUTPUT -j s1 

[0:0] -A f0to1 -p tcp -m tcp --sport 1024:65535 --dport 6881:6889 -m state --state NEW -j ACCEPT 

[0:0] -A f0to1 -p udp -m udp --dport 6970:7170 -j ACCEPT 

[0:0] -A f0to1 -p tcp -m tcp --sport 1024:65535 --dport 4662 -m state --state NEW -j ACCEPT 

[0:0] -A f0to1 -p udp -m udp --sport 1024:65535 --dport 4666 -j ACCEPT 

[0:0] -A f0to1 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT 

[35:5418] -A f0to1 -j logdrop 

[0:0] -A f1to0 -p tcp -m tcp --dport 2121 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5222 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5223 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 111 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --dport 111 -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 1024:65535 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 2049 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --dport 2049 -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 873 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 21 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 1863 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5050 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 23 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5000:5001 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 5000 -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 22 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 0:1023 --dport 22 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 80 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 8080 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 8008 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 8000 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 8888 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 37 -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 37 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --dport 123 -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 123 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 53 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --dport 53 -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 25 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 515 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 6881:6889 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 554 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 7070 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 6660:6669 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 389 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 522 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 1503 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 1720 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --dport 1731 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 1024:65535 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 1024:65535 -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 5190:5193 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 5190:5193 -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 3632 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 4661 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 4662 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 4665 -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --sport 1024:5999 --dport 4666 -j ACCEPT 

[0:0] -A f1to0 -p udp -m udp --dport 4000 -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 110 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -p tcp -m tcp --sport 1024:5999 --dport 443 -m state --state NEW -j ACCEPT 

[0:0] -A f1to0 -j logdrop 

[0:0] -A logaborted -m limit --limit 1/sec --limit-burst 10 -j logaborted2 

[0:0] -A logaborted -m limit --limit 2/min --limit-burst 1 -j LOG --log-prefix "LIMITED " 

[0:0] -A logaborted2 -j LOG --log-prefix "ABORTED " --log-tcp-sequence --log-tcp-options --log-ip-options 

[0:0] -A logaborted2 -m state --state RELATED,ESTABLISHED -j ACCEPT 

[35:5418] -A logdrop -m limit --limit 1/sec --limit-burst 10 -j logdrop2 

[0:0] -A logdrop -m limit --limit 2/min --limit-burst 1 -j LOG --log-prefix "LIMITED " 

[0:0] -A logdrop -j DROP 

[35:5418] -A logdrop2 -j LOG --log-prefix "DROPPED " --log-tcp-sequence --log-tcp-options --log-ip-options 

[35:5418] -A logdrop2 -j DROP 

[0:0] -A logreject -m limit --limit 1/sec --limit-burst 10 -j logreject2 

[0:0] -A logreject -m limit --limit 2/min --limit-burst 1 -j LOG --log-prefix "LIMITED " 

[0:0] -A logreject -p tcp -j REJECT --reject-with tcp-reset 

[0:0] -A logreject -p udp -j REJECT --reject-with icmp-port-unreachable 

[0:0] -A logreject -j DROP 

[0:0] -A logreject2 -j LOG --log-prefix "REJECTED " --log-tcp-sequence --log-tcp-options --log-ip-options 

[0:0] -A logreject2 -p tcp -j REJECT --reject-with tcp-reset 

[0:0] -A logreject2 -p udp -j REJECT --reject-with icmp-port-unreachable 

[0:0] -A logreject2 -j DROP 

[35:5418] -A nicfilt -i eth0 -j RETURN 

[0:0] -A nicfilt -i eth0 -j RETURN 

[0:0] -A nicfilt -i lo -j RETURN 

[0:0] -A nicfilt -j logdrop 

[0:0] -A s0 -d 192.168.0.101 -j f0to1 

[35:5418] -A s0 -d 192.168.0.255 -j f0to1 

[0:0] -A s0 -d 127.0.0.1 -j f0to1 

[0:0] -A s0 -j logdrop 

[0:0] -A s1 -j f1to0 

[35:5418] -A srcfilt -j s0 

COMMIT

# Completed on Thu Jul 28 15:31:58 2005

```

le nmap:

```
nmap localhost

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-28 15:37 EDT

Interesting ports on localhost (127.0.0.1):

(The 1654 ports scanned but not shown below are in state: closed)

PORT      STATE SERVICE

21/tcp    open  ftp

22/tcp    open  ssh

111/tcp   open  rpcbind

631/tcp   open  ipp

783/tcp   open  hp-alarm-mgr

834/tcp   open  unknown

2049/tcp  open  nfs

3632/tcp  open  distccd

32770/tcp open  sometimes-rpc3

Nmap finished: 1 IP address (1 host up) scanned in 0.278 seconds

```

----------

## Piaf

Salut,

J'ai pas vraiment eu le temps de regarder ta config iptables, mais en tout cas, il y a un petit détail qui me dérange un peu avec ton nmap:

 *Dais wrote:*   

> 
> 
> ```
> nmap localhost
> 
> ...

 

localhost (127.0.0.1)

ton scan semble s'effectuer sur l'interface de loopback... ce qui ne peut que en fausser les résultats...

Dans ce cas, seule la règle

```
[0:0] -A INPUT -i lo -j ACCEPT 
```

s'applique...

Est-ce que ton serveur ftp ecoute sur le port 2121 sur lo ?

A++

----------

## Dais

Euh, voici le nmap sur mon ip réseau (192.168.0.101)

```
nmap -v 192.168.0.101

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-07-29 08:13 EDT

Initiating SYN Stealth Scan against nirvana.samsara (192.168.0.101) [1663 ports] at 08:13

Discovered open port 22/tcp on 192.168.0.101

Discovered open port 21/tcp on 192.168.0.101

Discovered open port 631/tcp on 192.168.0.101

Discovered open port 3632/tcp on 192.168.0.101

Discovered open port 111/tcp on 192.168.0.101

Discovered open port 32770/tcp on 192.168.0.101

Discovered open port 2049/tcp on 192.168.0.101

Discovered open port 834/tcp on 192.168.0.101

The SYN Stealth Scan took 0.16s to scan 1663 total ports.

Host nirvana.samsara (192.168.0.101) appears to be up ... good.

Interesting ports on nirvana.samsara (192.168.0.101):

(The 1655 ports scanned but not shown below are in state: closed)

PORT      STATE SERVICE

21/tcp    open  ftp

22/tcp    open  ssh

111/tcp   open  rpcbind

631/tcp   open  ipp

834/tcp   open  unknown

2049/tcp  open  nfs

3632/tcp  open  distccd

32770/tcp open  sometimes-rpc3

Nmap finished: 1 IP address (1 host up) scanned in 0.322 seconds

               Raw packets sent: 1665 (66.6KB) | Rcvd: 3336 (133KB)

```

Sinon, je sais pas si le 2121 est sur lo ou eth0, je t'avouerais que j'y comprends pas grand chose à iptables pour l'instant ^^;

----------

## Starch

Je comprends pas grand chose à ce que tu veux faire non plus. Un port n'est ouvert que si quelque chose écoute dessus.

```

netstat -aputn | grep LISTEN

```

Si dans la conf de ton ftp t'as pas mis Listen 2121 ou équivalent tu n'iras pas bien loin.

Si maintenant tu veuv rediriger les requêtes sur le 2121 from the extérieur sur le 21 de ton ftp local, il faut que tu le dise à ton routeur.

C'est pas parce que ton firewall dit « Je laisse passer ce port là » qu'il est ouvert...

----------

## Dais

Non mais je fais pitié là ... j'avais effectivement laissé le port 21 pour le ftp .. avec le port mis en 2121 ça marche mieux  :Razz: 

Du coup, maintenant je peux me connecter via l'ip réseau, mais pas depuis l'extérieur  :Sad: 

EDIT: faut que je me réveille .. j'oublie de poster le message d'erreur ..

```
PORT 192,168,0,101,4,11

500 Illegal PORT command

Invalid response '5' received from server.

Déconnexion de l'hôte monrake.dyndns.org
```

----------

## kernelsensei

est-ce que tu tiens vraiment aux -sport et -m state --state NEW ?

essaye voir sans ...

----------

## anigel

Complément d'information, même si cela ne semble pas être ton cas : ne pas oublier que par défaut, nmap de teste pas l'intégralité des ports disponibles, mais seulement les ports "principaux".

Pour être certain qu'un port est ouvert ou fermé, il faut le spécifier à la main. C'est particulièrement vrai dans le cas de ports non banals.

```
nmap <ip_hôte> -p <n° de port>

exemple : nmap localhost -p 2121
```

Amicalement,

----------

## Dais

 *kernel_sensei wrote:*   

> est-ce que tu tiens vraiment aux -sport et -m state --state NEW ?
> 
> essaye voir sans ...

 

Tu veux que je vire ces options des lignes où elles se trouvent, ou bien carrément les lignes qui contiennent ces options ?

Anigel: bah maintenant je vois le port 2121 ouvert ^^; cf plus haut (mekelboulay ce Dais, j'vous jure..)

----------

## kernelsensei

essaye de faire en tcp, comme tu le fais en udp

----------

## anigel

 *Dais wrote:*   

> Anigel: bah maintenant je vois le port 2121 ouvert ^^; cf plus haut (mekelboulay ce Dais, j'vous jure..)

 

J'avais bien compris, mais c'est un problème courant aussi, donc ça va mieux en le disant : peut-être cela pourra servir à d'autres ?

 :Wink: 

----------

## Dais

Kernel_sensei: sauf que j'ai des udp en -sport ..

désolé, je suis très lent à la détente aujourd'hui, je dors sur place  :Laughing: 

anigel: effectivement ^^

----------

## kernelsensei

tu fais un truc comme ca : 

```
-A f1to0 -p tcp -m tcp --dport <PORT> -j ACCEPT
```

----------

## Dais

C'est fait, et toujours la même erreur "500 illegal port command, invalid response '5' recieved from server"

----------

## Starch

Je ne m'y connais absolument pas en iptables (parce que bon les firewall c'est bien, mais bof quoi...), toutefois y'a plusieurs trucs à voir :

- Actif ou passif. Actif que c'est mieux. Sauf si des gens peuvent se connecter de derrière un firewall.

- T'as autorisé le 2120 aussi ?

- y'a le coup de la plage de ports en passif aussi.

Le ftp c'est mal pour les firewalls !

----------

## Dais

actif

pas de port 2120 car actif justement

----------

## niolou

Si ton FTP fonctionne en mode passif tu dois déclaré le port 20 à iptables sans quoi tu vas t'amusé in moment.

```

iptables -A INPUT -i <toninfacedentree> -p tcp --dport 20 -j ACCEPT

iptables -A OUTPUT -o <toninfacedesortie> -p tcp --sport 20 -j ACCEPT

```

après bien sur tu peux jouer avec les états iptables.

Pour un ftp passif la c'est tendu enfin moi perso ca n'a jms fonctionné (je jump sur 2 firewalls différents aussi faut dire) 

mais on obtient ca (j'emet une reserve certaine sur le code) 

```

iptables -A INPUT  -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

```

Sinon as tu bien ouvert ton port 2121 ? OUTPUT et INPUT ?

----------

