[eside-ghost] Problema FTP con IPTables
Krutxi
linux.eghost en gmail.com
Mie Abr 26 12:20:54 CEST 2006
He probado a cargar el modulo y compruebo que esta cargado con "lsmod".
Aun asi sigue sin funcionarme y he probado diferentes sentencias que a la
gente "le funcionan" pero nada... Con el "iptraf" me sigue mostrando que las
conexiones con el servidor se bloquean, y no la de control (pto 21) los que
salen bloqueados son puertos >1024.
No se me ocurre que mas probar.
2006/4/26, Krutxi <linux.eghost en gmail.com>:
>
> Muchas gracias.
> Voy a ir probando, lo del modulo lo ley ayer, a ver si hay suerte y os
> cuento como lo he hecho.
> Un saludo
>
> El día 25/04/06, Ramón Echávarri Escribano <ramandi en terra.es> escribió:
>
> > Hola,
> >
> > el ftp tiene dos modos. Depende de cual quieras permitir, tendrás que
> > abrir unas cosas u otras. La conexión de control se establece siempre desde
> > el cliente (normalmente puerto origen >1023) al puerto 21 del servidor.
> > -Modo Activo: el servidor abre una conexión de datos desde su puerto 20
> > hacia el puerto dinámico del cliente que se le indica (>1023)
> > -Pasivo: el cliente abre una conexión de datos desde un puerto dinámico
> > (>1023) hacia un puerto dinámico del servidor (>1023).
> >
> > Normalmente en Internet "funciona" el modo pasivo, porque
> > tradicionalmente (cuando los firewalls eran aún más tontos y no
> > interpretaban protocolos ni ná) a los administradores de red no les han
> > molado demasiado las conexiones entrantes (la gente es más rariitaaaa ;-)).
> > A pesar de eso, como dice Jon, muchos clientes por defecto usan el modo
> > activo.
> >
> > En el modo pasivo, el puerto de destino es dinámico, y no el puerto
> > 20, porque si no el servidor no sabría distinguir a qué conexión de control
> > pertenece esa conexión, y al conectarte te daría los ficheros de otros...
> > Como siempre, se podría haber hecho de otra forma, y que le indicaras desde
> > donde ibas a acceder y........ el caso es que no es así.
> >
> > Total, que yo de iptables no sé mucho, pero es probable que permitiendo
> > la conexión saliente de control y las relacionadas entrantes y salientes,
> > permitas los dos modos. El caso es que para saber cuáles son las
> > relacionadas, necesitas tener cargado un módulo, y google me ha dicho que se
> > llama ip_conntrack_ftp.
> >
> > A ver si hay suerte.
> >
> > Saludos,
> > Ramandi
> >
> > ----- Original Message ----- *From:* Krutxi <linux.eghost en gmail.com>
> > *To:* Lista de eside-ghost <eside-ghost en deusto.es>
> > *Sent:* Tuesday, April 25, 2006 11:55 AM
> > *Subject:* [eside-ghost] Problema FTP con IPTables
> >
> > Hola, hace un tiempo puse un post sobre esto, pero bueno, ahora que he
> > retomado el tema...
> > El problema es que todo me funciona bien excepto el acceso a FTP
> > externos, tengo creada alguna variable y esta es la parte del script donde
> > permito el acceso FTP.
> >
> > $IPT -A aInet -p tcp --sport 1024: --dport 20:21 -s
> > 192.168.0.0/24 -j ACCEPT
> > $IPT -A deInet -p tcp --sport 20:21 --dport 1024: -m state
> > --state ESTABLISHED,RELATED -j ACCEPT
> >
> > Al principio habia puesto hasta aqui, pero con el IPTRAF vi que me
> > estaba bloqueando una conexion con puertos mayores a 1024 asi que decidi
> > permitir los puertos mayores a 1024 establecidos y relacionados... pero aun
> > asi sigue sin funcionar y he mirado por varios foros y no he conseguido
> > solucion... Si a alguno se le ocurre que es lo que me he podido dejar por
> > ahi.
> >
> > $IPT -A aInet -p tcp --dport 1024: --sport 1024: -m state
> > --state ESTABLISHED,RELATED -j ACCEPT
> > $IPT -A deInet -p tcp --dport 1024: --sport 1024: -m state
> > --state ESTABLISHED,RELATED -j ACCEPT
> >
> > Muchas gracias
> >
> > Saludos
> >
> > ------------------------------
> >
> > _______________________________________________
> > eside-ghost mailing list
> > eside-ghost en deusto.es
> > https://listas.deusto.es/mailman/listinfo/eside-ghost
> >
> >
> > _______________________________________________
> > eside-ghost mailing list
> > eside-ghost en deusto.es
> > https://listas.deusto.es/mailman/listinfo/eside-ghost
> >
> >
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20060426/c18e0b3c/attachment.htm
Más información sobre la lista de distribución eside-ghost