Re: Iptables y ftp interno
El Jueves, 21 de Septiembre de 2006 22:47, Kader Portales Ferrer escribió:
> Hola lista, tengo el sgte problema, tengo una pc con la que quiero
> redireccionar todo el acceso hacia un web y un ftp de la una red
> interna, ya he logrado que el web sea visible pero no así con el ftp,
> aquí le envío las reglas que he metido en el iptables para la tabla del
> nat:
>
> server1:~# iptables -L -n -t nat
> Chain PREROUTING (policy ACCEPT)
> target prot opt source destination
> DNAT tcp -- 0.0.0.0/0 192.168.159.98 tcp dpt:21
> to:192.168.170.7:20
> DNAT tcp -- 0.0.0.0/0 192.168.159.98 tcp dpt:21
> to:192.168.170.7:21
> DNAT tcp -- 0.0.0.0/0 192.168.159.98 tcp dpt:80
> to:192.168.170.7:80
>
> Chain POSTROUTING (policy ACCEPT)
> target prot opt source destination
> SNAT tcp -- 0.0.0.0/0 192.168.170.7 tcp dpt:20
> to:192.168.170.2
> SNAT tcp -- 0.0.0.0/0 192.168.170.7 tcp dpt:21
> to:192.168.170.2
> SNAT tcp -- 0.0.0.0/0 192.168.170.7 tcp dpt:80
> to:192.168.170.2
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
> DNAT tcp -- 0.0.0.0/0 192.168.159.98 tcp dpt:21
> to:192.168.170.7:20
> DNAT tcp -- 0.0.0.0/0 192.168.159.98 tcp dpt:21
> to:192.168.170.7:21
> DNAT tcp -- 0.0.0.0/0 192.168.159.98 tcp dpt:80
> to:192.168.170.7:80
>
> Me falta hacer algo más?.
Busca sobre el problema de FTP y los firewalls. Debes cargar un módulo (o dos
si haces también NAT).
Una pista: el puerto de control es el 21, pero el de datos se negocia y se
comunica dentro de los datos de aplicación TCP, así que el firewall (capa 3)
no se puede enterar.
Por eso hace falta un módulo para que tu sistema TCP/IP analice el contenido
de los datos del control de FTP para poder permitir el tráfico entrante o
saliente por ese puerto.
--
Iñaki
Reply to: