Problema con FTP Pasivo

Javier Garay javierzgaray en gmail.com
Mie Feb 15 12:52:47 CLST 2012


Hola colegas, saludo a todos.

Quisiera saber si alguno de ustedes se ha enfrentado alguna vez con el
problema de hacer pasar por un NAT con iptables una conexión pasiva FTP.

Tengo mi firewall haciendo Forward entre mi red LAN e Internet. El problema
del FTP pasivo es que éste solicita un puerto dinámico TCP en el rango
1024:65535 determinado por el servidor FTP, pero si abro ese rango,
significa que permito el acceso a cualquier aplicación. He intentado
configurar reglas para permitir el acceso a ese rango de puerto solo si
existe una conexión establecida, pero sin éxito.

Esto es algo de lo que he probado realizar:

-A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state --state
NEW,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 20 -m state --state
ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -m state --state
ESTABLISHED,RELATED -j ACCEPT

Las dos primeras reglas funcionan bien, el problema es la tercera regla.
Como sigue no me sirve, ya que permito el acceso a esos puertos a cualquier
aplicación:

-A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j ACCEPT

Sé que una solución sería hacer Forward a la IP específica del servidor FTP
al que trato de acceder, pero quiero agotar los medios para saber si es
posible filtrar de manera genérica.

Saludos.

-- 
Atte,
Javier Garay G.
Ingeniero en Informática.
Cel. 6834 4088


Más información sobre la lista de distribución Linux