[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: FTP x FIREWALL-[NAO RESOLVIDO]

estranho. No meu servidor: 
---inicio da cadeia forward ----
iptables -P FORWARD DROP
FW_FTP=1
if [ $FW_FTP == 1 ]; then
modprobe  ip_conntrack_ftp        
modprobe ip_nat_ftp
echo -e "FW_FTP\t\t\t habilitada"
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp --sport 20 -j ACCEPT
fi
----final da cadeia forward-----

em uma estação:

ftp ftp.unicamp.br
Connected to zeus.unicamp.br.
220  FTPserver da Unicamp - Master - Default
Name (ftp.unicamp.br:acesso): ftp
331 Anonymous login ok, send your complete email address as your password.
Password:
230-
   Bem-vindo ao servidor FTP da Unicamp!
   Sugestoes e comentarios, por favor entre em contato
   com <apoio@ccuec.unicamp.br>.

 ----

Welcome to UNICAMP's FTP server!
For comments on this site, please contact <apoio@ccuec.unicamp.br>.

You are user (50)  of (300) simultaneous users allowed.

230 Anonymous access granted, restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful
150 Opening ASCII mode data connection for file list
-rw-r--r--   1 FtpUser  FtpGroup      302 Jul 11  2005 msg.welcome
drwxrwsr-x   8 FtpUser  FtpGroup     1024 Jan 23 17:09 pub
drwxrwsr-x  10 FtpUser  FtpGroup      512 Jan 19 16:45 pub2
drwxrwsr-x   6 FtpUser  FtpGroup      512 Jan 18 17:36 pub3
drwxrwsr-x   4 FtpUser  FtpGroup      512 Jan 11 18:10 pub4
drwxrwsr-x   8 FtpUser  FtpGroup      512 Jan 24 14:01 pub5
drwxrwsr-x  10 FtpUser  FtpGroup      512 Nov  7 17:54 pub6
226 Transfer complete.
ftp> 221 Goodbye.


e com todos os outros forwards bloqueados, e sem o related, established que vc 
citou. 
Era para funcionar em um cenário qualquer, menos com passive mode, o qual 
requere o related,established.

[ ]s, Henry


Em Quinta 25 Janeiro 2007 10:13, Pedro - Debian escreveu:
> Olá pessoal,
>
> Tentei as seguintes sugestões:
>
>     * liberar a porta 20 udp, a 21 tcp/udp já estava liberada -
> bidirecional * carregar os módulos ip_nat_ftp/ip_conntrack_ftp
>
> Mas não funcionou, porém ao adicionar as regras :
>
>     * iptables -A INPUT /FORWARD  -m state --state ESTABLISHED,RELATED
>       -j ACCEPT
>
> consegui acessar, porém outros aplicativos ficam liberados também, como
> os jogos online do Windows (que eu peguei), o que complica um pouco
> nossa vida.
>
> Estou enviando abaixo a saída de log se alguém puder ajudar... apenas
> reforçando, meu problema é acessar servidores FTP externos a rede.
>
> Desde já muito obrigado.
>
> Pedro
>
> ### SAIDA DO LOG - FIREWALL
> Jan 25 08:55:15 debian kernel: FRW: BLOQUEIO REPASSEIN=eth0 OUT=eth1
> SRC=201.44.90.130 DST=192.168.1.63 LEN=48 TOS=0x00 PREC=0x00 TTL=59 ID=0
> DF PROTO=TCP SPT=24846 DPT=1134 WINDOW=5840 RES=0x00 ACK SYN URGP=0
> Jan 25 08:55:57 debian kernel: FRW: BLOQUEIO REPASSEIN=eth0 OUT=eth1
> SRC=201.44.90.130 DST=192.168.1.63 LEN=48 TOS=0x00 PREC=0x00 TTL=59 ID=0
> DF PROTO=TCP SPT=40795 DPT=1140 WINDOW=5840 RES=0x00 ACK SYN URGP=0
> Jan 25 08:56:19 debian kernel: FRW: BLOQUEIO REPASSEIN=eth0 OUT=eth1
> SRC=201.44.90.130 DST=192.168.1.63 LEN=48 TOS=0x00 PREC=0x00 TTL=59 ID=0
> DF PROTO=TCP SPT=40795 DPT=1140 WINDOW=5840 RES=0x00 ACK SYN URGP=0
> Jan 25 08:56:43 debian kernel: FRW: BLOQUEIO REPASSEIN=eth0 OUT=eth1
> SRC=201.44.90.130 DST=192.168.1.63 LEN=48 TOS=0x00 PREC=0x00 TTL=59 ID=0
> DF PROTO=TCP SPT=40795 DPT=1140 WINDOW=5840 RES=0x00 ACK SYN URGP=0
> Jan 25 08:57:31 debian kernel: FRW: BLOQUEIO REPASSEIN=eth0 OUT=eth1
> SRC=201.44.90.130 DST=192.168.1.63 LEN=48 TOS=0x00 PREC=0x00 TTL=59 ID=0
> DF PROTO=TCP SPT=40795 DPT=1140 WINDOW=5840 RES=0x00 ACK SYN URGP=0
>
> Daniel escreveu:
> > Pedro, já tive o mesmo problema e descobri que não eram nas regras, mas
> > sim, estava faltando carregar dois módulos de ftp, aí funcionou na boa.
> >
> > Coloque no início das suas regras:
> > modprobe ip_nat_ftp
> > modprobe ip_conntrack_ftp
> >
> > Acho que isso resolverá teu problema.. qq problema, comunique
> >
> > Um abraço
> >
> > daniel
> >
> > -----Mensagem original-----
> > De: Pedro - Debian [mailto:pedro_debian@yahoo.com.br]
> > Enviada em: quarta-feira, 24 de janeiro de 2007 16:52
> > Para: debian-portuguese
> > Assunto: FTP x FIREWALL
> >
> > Olá pessoal,
> >
> > Tenho um Firewall com iptables que distribui o acesso de internet para
> > os usuários da rede. A política de acesso é DROP para INPUT e FORWARD
> > liberando os serviços essenciais (21, 25, 80, 110...)
> >
> > Bom, qdo vamos fazer acesso ftp, até o login ele vai bem aparece usuário
> > e senha para autenticar... a partir dai o acesso não vai para frente...
> >
> > Eu olhei no log e vi que depois da tela de login ele faz alguns acessos
> > a portas altas (35993, 21899 )que por padrão são bloqueadas no sistema,
> > e estas portas são aleatórias... não dá para liberar uma delas.
> >
> > A solução que cheguei foi liberar manualmente os servidores que o
> > pessoal for precisando, autorizando eles a acessarem portas altas,mais
> > isto vai dar um bom trabalho.
> >
> > Alguém tem um solução mais inteligível para eu poder usar????
> >
> >
> > Desde já obrigado
> >
> >
> > Pedro
> >
> >
> > _______________________________________________________
> > Yahoo! Mail - Sempre a melhor opção para você!
> > Experimente já e veja as novidades.
> > http://br.yahoo.com/mailbeta/tudonovo/


_______________________________________________________
Yahoo! Mail - Sempre a melhor opção para você!
Experimente já e veja as novidades.
http://br.yahoo.com/mailbeta/tudonovo/
Reply to: