Problema con FTP Pasivo

Hector Gatica hector.gatica en opensynapse.cl
Mie Feb 15 12:59:48 CLST 2012


On Wed, 15 Feb 2012 12:52:47 -0300, Javier Garay
<javierzgaray en gmail.com> wrote:
> Hola colegas, saludo a todos.
> 
> Quisiera saber si alguno de ustedes se ha enfrentado alguna vez con el
> problema de hacer pasar por un NAT con iptables una conexión pasiva FTP.
> 
> Tengo mi firewall haciendo Forward entre mi red LAN e Internet. El problema
> del FTP pasivo es que éste solicita un puerto dinámico TCP en el rango
> 1024:65535 determinado por el servidor FTP, pero si abro ese rango,
> significa que permito el acceso a cualquier aplicación. He intentado
> configurar reglas para permitir el acceso a ese rango de puerto solo si
> existe una conexión establecida, pero sin éxito.
> 
> Esto es algo de lo que he probado realizar:
> 
> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state --state
> NEW,ESTABLISHED -j ACCEPT
> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 20 -m state --state
> ESTABLISHED -j ACCEPT
> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -m state --state
> ESTABLISHED,RELATED -j ACCEPT
> 
> Las dos primeras reglas funcionan bien, el problema es la tercera regla.
> Como sigue no me sirve, ya que permito el acceso a esos puertos a cualquier
> aplicación:
> 
> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j ACCEPT
> 
> Sé que una solución sería hacer Forward a la IP específica del servidor FTP
> al que trato de acceder, pero quiero agotar los medios para saber si es
> posible filtrar de manera genérica.
> 
> Saludos.
> 
> -- 
> Atte,
> Javier Garay G.
> Ingeniero en Informática.
> Cel. 6834 4088

Haz intentado cargando los módulos para ello ? 

Creo que es :

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

Saludos.


Más información sobre la lista de distribución Linux