Script iptables, problema con el ftp
Mauricio Rojas
mrojas en maptek.cl
Lun Ago 9 13:10:33 CLT 2004
Hola,
No creo que aplicar la politica de acptar todo y luego filtrar sea lo
mas adecuando, deberias partir negando todo y luego dar acceso solo a
los puertos que sean necesarios, respecto al servicio ftp este servicio
utuliza los puertos 20 - 21, segun el listado que enviaste no aparecen
con permisos para establecer las conexiones, por ejemplo:
Partiendo de la base de negar todo
*filter
:INPUT DROP [1:96]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -d eth0/24 -p tcp -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK
SYN -j ACCEPT
-A INPUT -d eth0/24 -p tcp -m tcp --dport 21 -j ACCEPT
atte.
Valentín González E. wrote:
> Hola listeros, tengo el siguiente script de iptables en el cual tengo
> problemas con el servicio ftp; no puedo conectarme a ningun site, la idea
> de este script es que desde la lan solo puedan entrar a los
> servcios o puerto declarados en el; la verdad quiciera que lo revisaran y
> me dijeran que corregir pues la verdad he intentado varios cambios y no
> logro nada, y este archivo me parece el mas correcto para que
> funcione como yo quiero.
> Cualquier sugerencia sera de mucha ayuda.
> De antemano gracias.
>
> *filter
> :INPUT ACCEPT [0:0]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [1972:339096]
> -A INPUT -i lo -j ACCEPT
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --sport
> 1024:65535 --dport 21 -m state --state ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --sport
> 1024:65535 --dport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT -A
> FORWARD -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state
> --state ESTABLISHED -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 80
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 443
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 445
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 139
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 1433
> -j ACCEPT
> -A FORWARD -s 192.168.0.2 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A
> FORWARD -s 192.168.0.61 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A
> FORWARD -s 192.168.0.100 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A
> FORWARD -s 192.168.0.101 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A
> FORWARD -s 192.168.0.102 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A
> FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 11999
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 53
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p udp -m udp --dport 53
> -j ACCEPT
> -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -j DROP
> COMMIT
> *nat
> :PREROUTING ACCEPT [12:1650]
> :POSTROUTING ACCEPT [9:581]
> :OUTPUT ACCEPT [54:3303]
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
> -A POSTROUTING -o eth1 -j MASQUERADE
> COMMIT
> *mangle
> :PREROUTING ACCEPT [2099:373200]
> :INPUT ACCEPT [1887:334250]
> :FORWARD ACCEPT [212:38950]
> :OUTPUT ACCEPT [1972:339096]
> :POSTROUTING ACCEPT [2184:378046]
> COMMIT
>
Mauricio A. Rojas Barrientos
Ing. de Ejec. en Informática
counter.li.org #332258
_____________________________________________________
Más información sobre la lista de distribución Linux