[eside-ghost] Problema FTP con IPTables
Krutxi
linux.eghost en gmail.com
Jue Abr 27 08:53:33 CEST 2006
Tengo cargados los modulos ip_nat_ftp e ip_conntrack_ftp.
La politica por defecto es denegar, solo escribo reglas para permiri lo que
necesito... Las reglas las aplico en dos cadenas que previamente he creado
llamadas "deInet" y "aInet" aunque tambien he probado con FORWARD por si
acaso... Seguire mirando por ahi a ver si encuentro la solucion.
Gracias
Chao
El día 26/04/06, Ramón Echávarri <ramandi en terra.es> escribió:
>
> Si en el mismo firewall estás haciendo nat, es probable que necesites
> ip_nat_ftp, al menos para el modo activo.
> De todas formas, verifica que aplicas las reglas en las cadenas adecuadas,
> y que no tengas ninguna regla previa que deniegue esas conexiones.
>
>
> ----- Original Message -----
> *From:* Krutxi <linux.eghost en gmail.com>
> *To:* Lista de eside-ghost <eside-ghost en deusto.es>
> *Sent:* Wednesday, April 26, 2006 12:20 PM
> *Subject:* Re: [eside-ghost] Problema FTP con IPTables
>
> He probado a cargar el modulo y compruebo que esta cargado con "lsmod".
> Aun asi sigue sin funcionarme y he probado diferentes sentencias que a la
> gente "le funcionan" pero nada... Con el "iptraf" me sigue mostrando que las
> conexiones con el servidor se bloquean, y no la de control (pto 21) los que
> salen bloqueados son puertos >1024.
>
> No se me ocurre que mas probar.
>
> 2006/4/26, Krutxi <linux.eghost en gmail.com>:
> >
> > Muchas gracias.
> > Voy a ir probando, lo del modulo lo ley ayer, a ver si hay suerte y os
> > cuento como lo he hecho.
> > Un saludo
> >
> > El día 25/04/06, Ramón Echávarri Escribano <ramandi en terra.es> escribió:
> >
> > > Hola,
> > >
> > > el ftp tiene dos modos. Depende de cual quieras permitir, tendrás que
> > > abrir unas cosas u otras. La conexión de control se establece siempre desde
> > > el cliente (normalmente puerto origen >1023) al puerto 21 del servidor.
> > > -Modo Activo: el servidor abre una conexión de datos desde su puerto
> > > 20 hacia el puerto dinámico del cliente que se le indica (>1023)
> > > -Pasivo: el cliente abre una conexión de datos desde un puerto
> > > dinámico (>1023) hacia un puerto dinámico del servidor (>1023).
> > >
> > > Normalmente en Internet "funciona" el modo pasivo, porque
> > > tradicionalmente (cuando los firewalls eran aún más tontos y no
> > > interpretaban protocolos ni ná) a los administradores de red no les han
> > > molado demasiado las conexiones entrantes (la gente es más rariitaaaa ;-)).
> > > A pesar de eso, como dice Jon, muchos clientes por defecto usan el modo
> > > activo.
> > >
> > > En el modo pasivo, el puerto de destino es dinámico, y no el puerto
> > > 20, porque si no el servidor no sabría distinguir a qué conexión de control
> > > pertenece esa conexión, y al conectarte te daría los ficheros de otros...
> > > Como siempre, se podría haber hecho de otra forma, y que le indicaras desde
> > > donde ibas a acceder y........ el caso es que no es así.
> > >
> > > Total, que yo de iptables no sé mucho, pero es probable que
> > > permitiendo la conexión saliente de control y las relacionadas entrantes y
> > > salientes, permitas los dos modos. El caso es que para saber cuáles son las
> > > relacionadas, necesitas tener cargado un módulo, y google me ha dicho que se
> > > llama ip_conntrack_ftp.
> > >
> > > A ver si hay suerte.
> > >
> > > Saludos,
> > > Ramandi
> > >
> > > ----- Original Message ----- *From:* Krutxi <linux.eghost en gmail.com>
> > > *To:* Lista de eside-ghost <eside-ghost en deusto.es>
> > > *Sent:* Tuesday, April 25, 2006 11:55 AM
> > > *Subject:* [eside-ghost] Problema FTP con IPTables
> > >
> > > Hola, hace un tiempo puse un post sobre esto, pero bueno, ahora que he
> > > retomado el tema...
> > > El problema es que todo me funciona bien excepto el acceso a FTP
> > > externos, tengo creada alguna variable y esta es la parte del script donde
> > > permito el acceso FTP.
> > >
> > > $IPT -A aInet -p tcp --sport 1024: --dport 20:21 -s
> > > 192.168.0.0/24 -j ACCEPT
> > > $IPT -A deInet -p tcp --sport 20:21 --dport 1024: -m state
> > > --state ESTABLISHED,RELATED -j ACCEPT
> > >
> > > Al principio habia puesto hasta aqui, pero con el IPTRAF vi que me
> > > estaba bloqueando una conexion con puertos mayores a 1024 asi que decidi
> > > permitir los puertos mayores a 1024 establecidos y relacionados... pero aun
> > > asi sigue sin funcionar y he mirado por varios foros y no he conseguido
> > > solucion... Si a alguno se le ocurre que es lo que me he podido dejar por
> > > ahi.
> > >
> > > $IPT -A aInet -p tcp --dport 1024: --sport 1024: -m state
> > > --state ESTABLISHED,RELATED -j ACCEPT
> > > $IPT -A deInet -p tcp --dport 1024: --sport 1024: -m state
> > > --state ESTABLISHED,RELATED -j ACCEPT
> > >
> > > Muchas gracias
> > >
> > > Saludos
> > >
> > > ------------------------------
> > >
> > > _______________________________________________
> > > eside-ghost mailing list
> > > eside-ghost en deusto.es
> > > https://listas.deusto.es/mailman/listinfo/eside-ghost
> > >
> > >
> > > _______________________________________________
> > > eside-ghost mailing list
> > > eside-ghost en deusto.es
> > > https://listas.deusto.es/mailman/listinfo/eside-ghost
> > >
> > >
> >
> ------------------------------
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.deusto.es/mailman/private/eside-ghost/attachments/20060427/438fb5f5/attachment-0001.htm
Más información sobre la lista de distribución eside-ghost