Re: server ftp dietro firewall (mi è venuto il mal di testa!)
> On Wed, Mar 24, 2004 at 03:33:51PM +0100, Alberto wrote:
> > Ciao a tutti.
> > Ho una macchina con due schede di rete e wu-ftp installato.
> > Con iptables ho chiuso sia la chain INPUT che la FORWARD perchè una delle interfaccie di rete è su una rete wireless con un pò di utenti..
> > Voglio che questi possano accedere al server ftp.
> > Con iptables -A INPUT -p tcp --dport 21 -j ACCEPT non risolvo niente!
> > Usando netstat vedo che il server apre un'altra porta per dialogare con il client...porta che cambia sempre...
> > Come faccio a specificare al firewall che il server può aprire le porte che gli servono?
> > Ah, non so se è importante, ma l'ipforwarding è attivo.
> >
> sicuro di avere caricato ftp_conntrack?
> cerca modprobe ip_conntrack_ftp nel tuo script di iptables.
peccato che ftp usi DUE porte, 20 e 21.
questo e' il mio pezzo di firewall che gestisce l'ftp server:
dove 192.168.22.36 e' l'indirizzo interno del server ftp e 81.110.80.99
e' l'indirizzo che da fuori vedono il server
intanto al boot carico
insmod ip_conntrack_ftp
insmod ip_nat_ftp
iptables -t nat -A PREROUTING -p tcp --dport 20 -d 81.110.80.99 -j DNAT
--to-destination 192.168.22.36
iptables -t nat -A PREROUTING -p tcp --dport 21 -d 81.110.80.99 -j DNAT
--to-destination 192.168.22.36
iptables -A FORWARD -p tcp --dport 20 -d 192.168.22.36 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -d 192.168.22.36 -j ACCEPT
iptables -A FORWARD -s 192.168.22.36 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 192.168.22.36 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.22.36 -m state --state ESTABLISHED,RELATED
-j ACCEPT
a me funge, anche da gente a sua volta nattata, come gente di fastweb o
altri utenti dietro altri firewall linux...
--
LoSpippolo <lospippolo@email.it>
Errare e' umano, perdonare non e' nella mia politica.
Reply to: