Voici le document auquel je renvoie les gens pour qu'ils puissent suivre le protocole FTP :http://slacksite.com/other/ftp.html
- Pour utiliser le FTP en mode actif, vous devez autoriser les connexions entrantes sur le port TCP 21 et les connexions sortantes sur le port 20.
- Pour effectuer un FTP en mode passif, vous devez autoriser les connexions entrantes sur le port TCP 21 et les connexions entrantes sur un port généré de manière aléatoire sur l'ordinateur serveur (nécessitant l'utilisation d'un module conntrack dans netfilter)
Vous n'avez rien concernant votre chaîne OUTPUT dans votre message, je vais donc l'inclure ici aussi. Si votre chaîne OUTPUT est par défaut, cela a de l'importance.
Ajoutez ces règles à votre configuration iptables :
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
Pour prendre en charge le FTP en mode passif, vous devez donc charger le module ip_conntrack_ftp au démarrage. Décommentez et modifiez la ligne IPTABLES_MODULES dans le fichier /etc/sysconfig/iptables-config pour lire :
IPTABLES_MODULES="ip_conntrack_ftp"
Enregistrez la configuration d'iptables et redémarrez iptables.
service iptables save
service iptables restart
Pour exclure complètement VSFTPD comme étant un problème, arrêtez VSFTPD, vérifiez qu'il n'écoute pas sur le port 21 avec un "netstat -a" puis exécutez un :
nc -l 21
Cela lancera l'écoute de netcat sur le port 21 et fera écho à l'entrée de votre shell. Depuis un autre hôte, TELNET au port 21 de votre serveur et vérifiez que vous obtenez une connexion TCP et que vous voyez une sortie dans le shell lorsque vous tapez la connexion TELNET.
Enfin, rétablissez VSFTPD, vérifiez qu'il écoute sur le port 21 et essayez de vous reconnecter. Si la connexion à netcat a fonctionné, vos règles iptables sont correctes. Si la connexion à VSFTPD ne fonctionne pas après que netcat l'ait fait, quelque chose ne va pas avec votre configuration VSFTPD.