Re: iptables y ftp

To: David Soler <solerdavid@gmail.com>
Cc: Lista Debian <debian-user-spanish@lists.debian.org>
Subject: Re: iptables y ftp
From: "Maximiliano J. Goldsmid" <mgoldsmid@gmail.com>
Date: Thu, 14 Oct 2004 23:19:37 -0300
Message-id: <[🔎] f3f8a43304101419192eb22214@mail.gmail.com>
Reply-to: "Maximiliano J. Goldsmid" <mgoldsmid@gmail.com>
In-reply-to: <[🔎] 17a5b38804101415185e03ef9b@mail.gmail.com>
References: <[🔎] 17a5b38804101415185e03ef9b@mail.gmail.com>

On Fri, 15 Oct 2004 00:18:58 +0200, David Soler <solerdavid@gmail.com> wrote:
> Hola:
> 
> Tengo un problema al que le he dado vueltas y vueltas y no he logrado
> nada. Veamos, tengo un servidor FTP detrás de un firewall iptables. El
> caso es que quiero que desde Internet puedan acceder a mi FTP. Para
> ello hago lo siguiente en el firewall:
> 
> #Redireccionamiento IP
> echo 1 > /proc/sys/net/ipv4/ip_forward
> 
> #Damos salida a internet a toda la LAN
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> 
> #Flush de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
> 
> #Politica por defecto: aceptar todo
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
> 
> #Establecemos las redirecciones por puerto hacia la web
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
> 192.168.1.10:80
> 
> #Establecemos las redirecciones por puerto hacia el FTP
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to
> 192.168.1.10:21
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 20 -j DNAT --to
> 192.168.1.10:20
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1024:65535 -j
> DNAT --to 192.168.1.10
> 
> Y eso es todo.
> Suponemos que mi servidor FTP y web están en la misma máquina con la
> IP 192.168.1.10. La redirección al puerto 80 funciona perfecto, pero
> falla el FTP. La ultima regla no sé si es correcta. Mi razonamiento es
> el siguiente: yo quiero que se pueda hacer FTP en modo pasivo, por lo
> tanto, el servidor abre una conexión en un puerto igual o superior al
> 1024 y queda a la espera de que el cliente conecte a ese puerto.

No, el servidor no escucha ni abre  un puerto superior al 1024, el
servidor escucha solo en el 21, los puertos superiores al 1024 los usa
el cliente para conectarse.

> Supongamos que para la transmisión de un archivo se abre la conexión
> en el puerto 25000, pues todo lo que le llegue al firewall del
> exterior con puerto destino 25000 debe redireccionarlo hacia
> 192.168.1.10:25000. Creo que eso es lo que hace la ultima regla.
> Corrijanme si me equivoco.

Si esta regla lo que va hacer es... cuando por ejemplo.... si tenes un
servidor mysql que escucha en el puerto 3306 entonces lo va a
redireccionar a tu 192.168.1.10
pero no tiene nada que ver con el problema de FTP que tenes

> Ahora, el problema es que, aunque consigo conectar al FTP y loguearme
> desde Internet, cuando hago "ls" me dice "Cannot open data
> connection". O sea que no puedo ni listar ni transmitir ni nada de
> nada.

1) probaste desde otra pc de la lan ?

2) decis que te podes loguear.... probaste de ejecutar "passive" una
vez logueado y despues hacer un " ls " ?

3) no estoy seguro que esto tenga que ver.... pero, el servicio de FTP
para que ips esta escuchando? solo para la Lan o para 0.0.0.0   ??

> Ya sé que la politica por defecto de aceptarlo todo es arriesgada,
> pero lo hice para descartar posibles problemas.
> Alguien puede ayudarme? esto es realmente desesperante.
> Gracias.
> 
> Saludos cordiales,
> David Soler
> "El conocimiento te hará libre"
> 
> 


Maxi

Reply to:

Follow-Ups:
- Re: iptables y ftp
  - From: David Soler <solerdavid@gmail.com>

References:
- iptables y ftp
  - From: David Soler <solerdavid@gmail.com>

Prev by Date: Re: [iperf] Solo un momento =)
Next by Date: OffTopic:Editor tipo Dreamweaver pero FREE !!!
Previous by thread: iptables y ftp
Next by thread: Re: iptables y ftp
Index(es):
- Date
- Thread