[eside-ghost] Problema FTP con IPTables
Krutxi
linux.eghost en gmail.com
Mie Abr 26 08:49:27 CEST 2006
Muchas gracias.
Voy a ir probando, lo del modulo lo ley ayer, a ver si hay suerte y os
cuento como lo he hecho.
Un saludo
El día 25/04/06, Ramón Echávarri Escribano <ramandi en terra.es> escribió:
>
> Hola,
>
> el ftp tiene dos modos. Depende de cual quieras permitir, tendrás que
> abrir unas cosas u otras. La conexión de control se establece siempre desde
> el cliente (normalmente puerto origen >1023) al puerto 21 del servidor.
> -Modo Activo: el servidor abre una conexión de datos desde su puerto 20
> hacia el puerto dinámico del cliente que se le indica (>1023)
> -Pasivo: el cliente abre una conexión de datos desde un puerto dinámico
> (>1023) hacia un puerto dinámico del servidor (>1023).
>
> Normalmente en Internet "funciona" el modo pasivo, porque tradicionalmente
> (cuando los firewalls eran aún más tontos y no interpretaban protocolos ni
> ná) a los administradores de red no les han molado demasiado las conexiones
> entrantes (la gente es más rariitaaaa ;-)). A pesar de eso, como dice Jon,
> muchos clientes por defecto usan el modo activo.
>
> En el modo pasivo, el puerto de destino es dinámico, y no el puerto
> 20, porque si no el servidor no sabría distinguir a qué conexión de control
> pertenece esa conexión, y al conectarte te daría los ficheros de otros...
> Como siempre, se podría haber hecho de otra forma, y que le indicaras desde
> donde ibas a acceder y........ el caso es que no es así.
>
> Total, que yo de iptables no sé mucho, pero es probable que permitiendo la
> conexión saliente de control y las relacionadas entrantes y salientes,
> permitas los dos modos. El caso es que para saber cuáles son las
> relacionadas, necesitas tener cargado un módulo, y google me ha dicho que se
> llama ip_conntrack_ftp.
>
> A ver si hay suerte.
>
> Saludos,
> Ramandi
>
> ----- Original Message ----- *From:* Krutxi <linux.eghost en gmail.com>
> *To:* Lista de eside-ghost <eside-ghost en deusto.es>
> *Sent:* Tuesday, April 25, 2006 11:55 AM
> *Subject:* [eside-ghost] Problema FTP con IPTables
>
> Hola, hace un tiempo puse un post sobre esto, pero bueno, ahora que he
> retomado el tema...
> El problema es que todo me funciona bien excepto el acceso a FTP externos,
> tengo creada alguna variable y esta es la parte del script donde permito el
> acceso FTP.
>
> $IPT -A aInet -p tcp --sport 1024: --dport 20:21 -s 192.168.0.0/24-j ACCEPT
> $IPT -A deInet -p tcp --sport 20:21 --dport 1024: -m state --state
> ESTABLISHED,RELATED -j ACCEPT
>
> Al principio habia puesto hasta aqui, pero con el IPTRAF vi que me estaba
> bloqueando una conexion con puertos mayores a 1024 asi que decidi permitir
> los puertos mayores a 1024 establecidos y relacionados... pero aun asi sigue
> sin funcionar y he mirado por varios foros y no he conseguido solucion... Si
> a alguno se le ocurre que es lo que me he podido dejar por ahi.
>
> $IPT -A aInet -p tcp --dport 1024: --sport 1024: -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> $IPT -A deInet -p tcp --dport 1024: --sport 1024: -m state --state
> ESTABLISHED,RELATED -j ACCEPT
>
> Muchas gracias
>
> Saludos
>
> ------------------------------
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20060426/54812050/attachment-0001.htm
Más información sobre la lista de distribución eside-ghost