[eside-ghost] Problema FTP con IPTables

Ramón Echávarri ramandi en terra.es
Mie Abr 26 13:24:13 CEST 2006 

Si en el mismo firewall estás haciendo nat, es probable que necesites ip_nat_ftp, al menos para el modo activo.
De todas formas, verifica que aplicas las reglas en las cadenas adecuadas, y que no tengas ninguna regla previa que deniegue esas conexiones.

  ----- Original Message ----- 
  From: Krutxi 
  To: Lista de eside-ghost 
  Sent: Wednesday, April 26, 2006 12:20 PM
  Subject: Re: [eside-ghost] Problema FTP con IPTables


  He probado a cargar el modulo y compruebo que esta cargado con "lsmod".
  Aun asi sigue sin funcionarme y he probado diferentes sentencias que a la gente "le funcionan" pero nada... Con el "iptraf" me sigue mostrando que las conexiones con el servidor se bloquean, y no la de control (pto 21) los que salen bloqueados son puertos >1024. 

  No se me ocurre que mas probar.


  2006/4/26, Krutxi <linux.eghost en gmail.com>:
    Muchas gracias.
    Voy a ir probando, lo del modulo lo ley ayer, a ver si hay suerte y os cuento como lo he hecho.
    Un saludo


    El día 25/04/06, Ramón Echávarri Escribano <ramandi en terra.es> escribió:
      Hola,

      el ftp tiene dos modos.  Depende de cual quieras permitir, tendrás que abrir unas cosas u otras.  La conexión de control se establece siempre desde el cliente (normalmente puerto origen >1023) al puerto 21 del servidor.
      -Modo Activo: el servidor abre una conexión de datos desde su puerto 20 hacia el puerto dinámico del cliente que se le indica (>1023)
      -Pasivo: el cliente abre una conexión de datos desde un puerto dinámico (>1023) hacia un puerto dinámico del servidor (>1023).

      Normalmente en Internet "funciona" el modo pasivo, porque tradicionalmente (cuando los firewalls eran aún más tontos y no interpretaban protocolos ni ná) a los administradores de red no les han molado demasiado las conexiones entrantes (la gente es más rariitaaaa ;-)).  A pesar de eso, como dice Jon, muchos clientes por defecto usan el modo activo.

      En el modo pasivo, el puerto de destino es dinámico, y no el puerto 20, porque si no el servidor no sabría distinguir a qué conexión de control pertenece esa conexión, y al conectarte te daría los ficheros de otros...  Como siempre, se podría haber hecho de otra forma, y que le indicaras desde donde ibas a acceder y........ el caso es que no es así.

      Total, que yo de iptables no sé mucho, pero es probable que permitiendo la conexión saliente de control y las relacionadas entrantes y salientes, permitas los dos modos.  El caso es que para saber cuáles son las relacionadas, necesitas tener cargado un módulo, y google me ha dicho que se llama ip_conntrack_ftp.

      A ver si hay suerte.

      Saludos,
      Ramandi

      ----- Original Message ----- 
      From: Krutxi 
      To: Lista de eside-ghost 
      Sent: Tuesday, April 25, 2006 11:55 AM
      Subject: [eside-ghost] Problema FTP con IPTables


      Hola, hace un tiempo puse un post sobre esto, pero bueno, ahora que he retomado el tema...
      El problema es que todo me funciona bien excepto el acceso a FTP externos, tengo creada alguna variable y esta es la parte del script donde permito el acceso FTP. 

              $IPT -A aInet -p tcp --sport 1024: --dport 20:21 -s 192.168.0.0/24 -j ACCEPT
              $IPT -A deInet -p tcp --sport 20:21 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT 

      Al principio habia puesto hasta aqui, pero con el IPTRAF vi que me estaba bloqueando una conexion con puertos mayores a 1024 asi que decidi permitir los puertos mayores a 1024 establecidos y relacionados... pero aun asi sigue sin funcionar y he mirado por varios foros y no he conseguido solucion... Si a alguno se le ocurre que es lo que me he podido dejar por ahi. 

              $IPT -A aInet -p tcp --dport 1024: --sport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
              $IPT -A deInet -p tcp --dport 1024: --sport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

      Muchas gracias

      Saludos




--------------------------------------------------------------------------


      _______________________________________________
      eside-ghost mailing list
      eside-ghost en deusto.es
      https://listas.deusto.es/mailman/listinfo/eside-ghost 


      _______________________________________________
      eside-ghost mailing list
      eside-ghost en deusto.es 
      https://listas.deusto.es/mailman/listinfo/eside-ghost








------------------------------------------------------------------------------


  _______________________________________________
  eside-ghost mailing list
  eside-ghost en deusto.es
  https://listas.deusto.es/mailman/listinfo/eside-ghost
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20060426/b0eaead6/attachment-0001.htm

Más información sobre la lista de distribución eside-ghost