Bonsoir,

J'ai un petit soucis avec iptable pour authoriser les connection ftp.

j'ai ces regles ci pour laisser passer les flux ftp:

#On accepte les connections sortantes sur le port 20 et 21 FTP
iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m state
--state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m state
--state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20 -m
state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21 -m
state --state NEW,ESTABLISHED -j ACCEPT

ca marche nickel lorsque je fais du ftp en console. Mais si je passe par
firefox ou un autre navigateur, j'ai une erreur 425 :-(.
Si je coupe le firewall ca passe nickel.

Je pense qu'il faut ouvrir encore un port, ou une de mes regles ne suffit
pas a firefox?

Avez vous une idée?

Merci

Salut,

deb ian a écrit :
>
> J'ai un petit soucis avec iptable pour authoriser les connection ftp.

Note : en français autoriser s'écrit sans h.

> j'ai ces regles ci pour laisser passer les flux ftp:
>
> #On accepte les connections sortantes sur le port 20 et 21 FTP
> iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m state
> --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m state
> --state ESTABLISHED -j ACCEPT
>
> iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20 -m
> state --state ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21 -m
> state --state NEW,ESTABLISHED -j ACCEPT
>
> ca marche nickel lorsque je fais du ftp en console. Mais si je passe par
> firefox ou un autre navigateur, j'ai une erreur 425 :-(.

Ces règles n'autorisent que les transferts en mode actif. Or la plupart
des navigateurs utilisent le mode passif parce que généralement il passe
mieux à travers les firewalls côté client (du moins ceux qui laissent
passer toutes les connexions sortantes). J'ignore s'il est possible de
paramétrer Firefox pour qu'il utilise le mode actif.

Si tu veux que ton firewall accepte le mode passif, tu fais comme tout
le monde : tu fais confiance au suivi de connexion en acceptant ce qui
est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports
source et destination, et tu limites les vérifications à ce qui est NEW.
Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est
que le paquet NEW correspondant a été accepté (ou rejeté, et que le
paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce
rejet et doit donc être accepté).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Salut,

deb ian a écrit :
>
> J'ai un petit soucis avec iptable pour authoriser les connection ftp.

Note : en français autoriser s'écrit sans h.

> j'ai ces regles ci pour laisser passer les flux ftp:
>
> #On accepte les connections sortantes sur le port 20 et 21 FTP
> iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m state
> --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m state
> --state ESTABLISHED -j ACCEPT
>
> iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20 -m
> state --state ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21 -m
> state --state NEW,ESTABLISHED -j ACCEPT
>
> ca marche nickel lorsque je fais du ftp en console. Mais si je passe par
> firefox ou un autre navigateur, j'ai une erreur 425 :-(.

Ces règles n'autorisent que les transferts en mode actif. Or la plupart
des navigateurs utilisent le mode passif parce que généralement il passe
mieux à travers les firewalls côté client (du moins ceux qui laissent
passer toutes les connexions sortantes). J'ignore s'il est possible de
paramétrer Firefox pour qu'il utilise le mode actif.

Si tu veux que ton firewall accepte le mode passif, tu fais comme tout
le monde : tu fais confiance au suivi de connexion en acceptant ce qui
est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports
source et destination, et tu limites les vérifications à ce qui est NEW.
Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est
que le paquet NEW correspondant a été accepté (ou rejeté, et que le
paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce
rejet et doit donc être accepté).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le jeudi 15 février 2007 20:36, Pascal Hambourg a écrit :
> Ces règles n'autorisent que les transferts en mode actif. Or la plupart
> des navigateurs utilisent le mode passif parce que généralement il passe
> mieux à travers les firewalls côté client (du moins ceux qui laissent
> passer toutes les connexions sortantes). J'ignore s'il est possible de
> paramétrer Firefox pour qu'il utilise le mode actif.
>
> Si tu veux que ton firewall accepte le mode passif, tu fais comme tout
> le monde : tu fais confiance au suivi de connexion en acceptant ce qui
> est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports
> source et destination, et tu limites les vérifications à ce qui est NEW.
> Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est
> que le paquet NEW correspondant a été accepté (ou rejeté, et que le
> paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce
> rejet et doit donc être accepté).

Petite variante pour l'état ESTABLISHED :
http://lists.debian.org/debian-user-.../msg01183.html

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Le jeudi 15 février 2007 20:36, Pascal Hambourg a écrit :
> Ces règles n'autorisent que les transferts en mode actif. Or la plupart
> des navigateurs utilisent le mode passif parce que généralement il passe
> mieux à travers les firewalls côté client (du moins ceux qui laissent
> passer toutes les connexions sortantes). J'ignore s'il est possible de
> paramétrer Firefox pour qu'il utilise le mode actif.
>
> Si tu veux que ton firewall accepte le mode passif, tu fais comme tout
> le monde : tu fais confiance au suivi de connexion en acceptant ce qui
> est ESTABLISHED ou RELATED dans les deux sens quels que soient les ports
> source et destination, et tu limites les vérifications à ce qui est NEW.
> Après tout, si un paquet est dans l'état RELATED ou ESTABLISHED, c'est
> que le paquet NEW correspondant a été accepté (ou rejeté, et que le
> paquet ESTABLISHED/RELATED est émis par le firewall pour signaler ce
> rejet et doit donc être accepté).

Petite variante pour l'état ESTABLISHED :
http://lists.debian.org/debian-user-.../msg01183.html

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Le jeudi 15 février 2007 20:17, deb ian a écrit :
> Bonsoir,
>
> J'ai un petit soucis avec iptable pour authoriser les connection ftp.
>
> j'ai ces regles ci pour laisser passer les flux ftp:
>
> #On accepte les connections sortantes sur le port 20 et 21 FTP
> iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m
> state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m
> state --state ESTABLISHED -j ACCEPT
>
> iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20
> -m state --state ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21
> -m state --state NEW,ESTABLISHED -j ACCEPT
>
> ca marche nickel lorsque je fais du ftp en console. Mais si je passe par
> firefox ou un autre navigateur, j'ai une erreur 425 :-(.
> Si je coupe le firewall ca passe nickel.
>
> Je pense qu'il faut ouvrir encore un port, ou une de mes regles ne suffit
> pas a firefox?

Il te manque le FTP passif me semble-t-il.
J'ai ceci en plus :
$IPTABLES -N ftp_passif
$IPTABLES -A ftp_passif -o $IF_OUTPUT -p tcp --sport 1024: --dport 1024: -m
state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A ftp_passif -i $IF_INPUT -p tcp --sport 1024: --dport 1024: -m
state --state ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT -j ftp_passif
$IPTABLES -A FORWARD -j ftp_passif
$IPTABLES -A OUTPUT -j ftp_passif

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Le jeudi 15 février 2007 20:17, deb ian a écrit :
> Bonsoir,
>
> J'ai un petit soucis avec iptable pour authoriser les connection ftp.
>
> j'ai ces regles ci pour laisser passer les flux ftp:
>
> #On accepte les connections sortantes sur le port 20 et 21 FTP
> iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 20 -m
> state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -i $INTERFACE --protocol tcp --source-port 21 -m
> state --state ESTABLISHED -j ACCEPT
>
> iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 20
> -m state --state ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -o $INTERFACE --protocol tcp --destination-port 21
> -m state --state NEW,ESTABLISHED -j ACCEPT
>
> ca marche nickel lorsque je fais du ftp en console. Mais si je passe par
> firefox ou un autre navigateur, j'ai une erreur 425 :-(.
> Si je coupe le firewall ca passe nickel.
>
> Je pense qu'il faut ouvrir encore un port, ou une de mes regles ne suffit
> pas a firefox?

Il te manque le FTP passif me semble-t-il.
J'ai ceci en plus :
$IPTABLES -N ftp_passif
$IPTABLES -A ftp_passif -o $IF_OUTPUT -p tcp --sport 1024: --dport 1024: -m
state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A ftp_passif -i $IF_INPUT -p tcp --sport 1024: --dport 1024: -m
state --state ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT -j ftp_passif
$IPTABLES -A FORWARD -j ftp_passif
$IPTABLES -A OUTPUT -j ftp_passif

--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Michel Grentzinger a écrit :
>
> Petite variante pour l'état ESTABLISHED :
> http://lists.debian.org/debian-user-.../msg01183.html

Quelle variante ? Par rapport à quoi ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Michel Grentzinger a écrit :
>
> Petite variante pour l'état ESTABLISHED :
> http://lists.debian.org/debian-user-.../msg01183.html

Quelle variante ? Par rapport à quoi ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le jeudi 15 février 2007 22:17, Pascal Hambourg a écrit :
> Michel Grentzinger a écrit :
> > Petite variante pour l'état ESTABLISHED :
> > http://lists.debian.org/debian-user-.../msg01183.html
>
> Quelle variante ? Par rapport à quoi ?

Pas besoin de NEW pour l'état RELATED en ftp.


--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Le jeudi 15 février 2007 22:17, Pascal Hambourg a écrit :
> Michel Grentzinger a écrit :
> > Petite variante pour l'état ESTABLISHED :
> > http://lists.debian.org/debian-user-.../msg01183.html
>
> Quelle variante ? Par rapport à quoi ?

Pas besoin de NEW pour l'état RELATED en ftp.


--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Michel Grentzinger a écrit :
>>
>>>Petite variante pour l'état ESTABLISHED :
>>>http://lists.debian.org/debian-user-.../msg01183.html
>>
>>Quelle variante ? Par rapport à quoi ?
>
> Pas besoin de NEW pour l'état RELATED en ftp.

Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
n'a pas fallu l'accepter ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Michel Grentzinger a écrit :
>>
>>>Petite variante pour l'état ESTABLISHED :
>>>http://lists.debian.org/debian-user-.../msg01183.html
>>
>>Quelle variante ? Par rapport à quoi ?
>
> Pas besoin de NEW pour l'état RELATED en ftp.

Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
n'a pas fallu l'accepter ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
> Michel Grentzinger a écrit :
> >>>Petite variante pour l'état ESTABLISHED :
> >>>http://lists.debian.org/debian-user-.../msg01183.html
> >>
> >>Quelle variante ? Par rapport à quoi ?
> >
> > Pas besoin de NEW pour l'état RELATED en ftp.
>
> Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
> n'a pas fallu l'accepter ?

Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la
question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur
fr.comp.securite :
== CITATION ============================================

Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion
attendu par un er du systeme, ip_conntrack_ftp par exemple. Il ne
peut avoir l'etat ESTABLISHED que si une connexion est deja active.

Dans notre cas, le paquet qui ouvre cette connexion part du client et a
l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour
cela que la regle en -i ppp0 ne porte que les ESTABLISHED.

> Comment est ouvert une connexion en FTP passif ? Apparement, il
> n'y a pas de paquet marqué NEW dans ce cas...si ?

C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation
qui sert a l'etablissement de la connexion de donnees. Quand il la
repere, il en lit les parametres et prepare un etat pour la prendre en
charge. Des lors, le paquet d'initiation de cette connexion ne sera pas
NEW, mais RELATED, parce que correspondant a un etat attendu.

== FIN DE CITATION ========================================

L'échange complet est ici :
http://groups.google.fr/group/fr.com...cc2372ef?hl=fr


--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
> Michel Grentzinger a écrit :
> >>>Petite variante pour l'état ESTABLISHED :
> >>>http://lists.debian.org/debian-user-.../msg01183.html
> >>
> >>Quelle variante ? Par rapport à quoi ?
> >
> > Pas besoin de NEW pour l'état RELATED en ftp.
>
> Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
> n'a pas fallu l'accepter ?

Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la
question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur
fr.comp.securite :
== CITATION ============================================

Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion
attendu par un er du systeme, ip_conntrack_ftp par exemple. Il ne
peut avoir l'etat ESTABLISHED que si une connexion est deja active.

Dans notre cas, le paquet qui ouvre cette connexion part du client et a
l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour
cela que la regle en -i ppp0 ne porte que les ESTABLISHED.

> Comment est ouvert une connexion en FTP passif ? Apparement, il
> n'y a pas de paquet marqué NEW dans ce cas...si ?

C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation
qui sert a l'etablissement de la connexion de donnees. Quand il la
repere, il en lit les parametres et prepare un etat pour la prendre en
charge. Des lors, le paquet d'initiation de cette connexion ne sera pas
NEW, mais RELATED, parce que correspondant a un etat attendu.

== FIN DE CITATION ========================================

L'échange complet est ici :
http://groups.google.fr/group/fr.com...cc2372ef?hl=fr


--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Michel Grentzinger wrote:
> Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
>> Michel Grentzinger a écrit :
>>>>> Petite variante pour l'état ESTABLISHED :
>>>>> http://lists.debian.org/debian-user-.../msg01183.html
>>>> Quelle variante ? Par rapport à quoi ?
>>> Pas besoin de NEW pour l'état RELATED en ftp.
>> Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
>> n'a pas fallu l'accepter ?
>
> Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la
> question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur
> fr.comp.securite :
> == CITATION ============================================
>
> Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion
> attendu par un er du systeme, ip_conntrack_ftp par exemple. Il ne
> peut avoir l'etat ESTABLISHED que si une connexion est deja active.
>
> Dans notre cas, le paquet qui ouvre cette connexion part du client et a
> l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour
> cela que la regle en -i ppp0 ne porte que les ESTABLISHED.
>
>> Comment est ouvert une connexion en FTP passif ? Apparement, il
>> n'y a pas de paquet marqué NEW dans ce cas...si ?
>
> C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation
> qui sert a l'etablissement de la connexion de donnees. Quand il la
> repere, il en lit les parametres et prepare un etat pour la prendre en
> charge. Des lors, le paquet d'initiation de cette connexion ne sera pas
> NEW, mais RELATED, parce que correspondant a un etat attendu.
>
> == FIN DE CITATION ========================================
>
> L'échange complet est ici :
> http://groups.google.fr/group/fr.com...cc2372ef?hl=fr
>
>

Pour moi, comme je le mentionnais, il est mis en avant que la connexion
sur le data channel ne genere pas d'etat NEW, mais un etat RELATED qui
est lie a la connexion sur le port 21 en ESTABLISHED.
Quant aux connexions sur le port 21 la premiere est dans l'etat NEW, et
toutes les autres dans l'etat ESTABLISHED.

Je ne vois rien d'etrange dans le comportement.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFF1gqCxJBTTnXAif4RAjhLAKDDrMEKG/SGmgdnqbMIWn+I/5SgkwCeKZou
7mP1dcInU9OcxI9hJaBLpcw=
=IMNj
-----END PGP SIGNATURE-----


__________________________________________________ _________
To you stay safe and secure online, we've developed the all new Yahoo! Security Centre. http://uk.security.yahoo.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Michel Grentzinger wrote:
> Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit :
>> Michel Grentzinger a écrit :
>>>>> Petite variante pour l'état ESTABLISHED :
>>>>> http://lists.debian.org/debian-user-.../msg01183.html
>>>> Quelle variante ? Par rapport à quoi ?
>>> Pas besoin de NEW pour l'état RELATED en ftp.
>> Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il
>> n'a pas fallu l'accepter ?
>
> Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la
> question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur
> fr.comp.securite :
> == CITATION ============================================
>
> Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion
> attendu par un er du systeme, ip_conntrack_ftp par exemple. Il ne
> peut avoir l'etat ESTABLISHED que si une connexion est deja active.
>
> Dans notre cas, le paquet qui ouvre cette connexion part du client et a
> l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour
> cela que la regle en -i ppp0 ne porte que les ESTABLISHED.
>
>> Comment est ouvert une connexion en FTP passif ? Apparement, il
>> n'y a pas de paquet marqué NEW dans ce cas...si ?
>
> C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation
> qui sert a l'etablissement de la connexion de donnees. Quand il la
> repere, il en lit les parametres et prepare un etat pour la prendre en
> charge. Des lors, le paquet d'initiation de cette connexion ne sera pas
> NEW, mais RELATED, parce que correspondant a un etat attendu.
>
> == FIN DE CITATION ========================================
>
> L'échange complet est ici :
> http://groups.google.fr/group/fr.com...cc2372ef?hl=fr
>
>

Pour moi, comme je le mentionnais, il est mis en avant que la connexion
sur le data channel ne genere pas d'etat NEW, mais un etat RELATED qui
est lie a la connexion sur le port 21 en ESTABLISHED.
Quant aux connexions sur le port 21 la premiere est dans l'etat NEW, et
toutes les autres dans l'etat ESTABLISHED.

Je ne vois rien d'etrange dans le comportement.

- --
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFF1gqCxJBTTnXAif4RAjhLAKDDrMEKG/SGmgdnqbMIWn+I/5SgkwCeKZou
7mP1dcInU9OcxI9hJaBLpcw=
=IMNj
-----END PGP SIGNATURE-----


__________________________________________________ _________
To you stay safe and secure online, we've developed the all new Yahoo! Security Centre. http://uk.security.yahoo.com


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org