Problema con FTP Pasivo
Larry Letelier
barbudone en gmail.com
Mie Feb 15 13:18:08 CLST 2012
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 15/02/12 12:59, Hector Gatica wrote:
> On Wed, 15 Feb 2012 12:52:47 -0300, Javier Garay
> <javierzgaray en gmail.com> wrote:
>> Hola colegas, saludo a todos.
>>
>> Quisiera saber si alguno de ustedes se ha enfrentado alguna vez
>> con el problema de hacer pasar por un NAT con iptables una
>> conexión pasiva FTP.
>>
>> Tengo mi firewall haciendo Forward entre mi red LAN e Internet.
>> El problema del FTP pasivo es que éste solicita un puerto
>> dinámico TCP en el rango 1024:65535 determinado por el servidor
>> FTP, pero si abro ese rango, significa que permito el acceso a
>> cualquier aplicación. He intentado configurar reglas para
>> permitir el acceso a ese rango de puerto solo si existe una
>> conexión establecida, pero sin éxito.
>>
>> Esto es algo de lo que he probado realizar:
>>
>> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state
>> --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s
>> 192.168.20.0/26 -p tcp --dport 20 -m state --state ESTABLISHED -j
>> ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024:
>> -m state --state ESTABLISHED,RELATED -j ACCEPT
>>
>> Las dos primeras reglas funcionan bien, el problema es la tercera
>> regla. Como sigue no me sirve, ya que permito el acceso a esos
>> puertos a cualquier aplicación:
>>
>> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j
>> ACCEPT
>>
>> Sé que una solución sería hacer Forward a la IP específica del
>> servidor FTP al que trato de acceder, pero quiero agotar los
>> medios para saber si es posible filtrar de manera genérica.
>>
>> Saludos.
>>
>> -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834
>> 4088
>
> Haz intentado cargando los módulos para ello ?
>
> Creo que es :
>
> modprobe ip_conntrack_ftp modprobe ip_nat_ftp
>
> Saludos.
Lo es/son:
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iQEcBAEBAgAGBQJPO9rAAAoJEPrcLH/1RnsgI94IAMTY1B/X9BCXR51RetLb8A5L
BKUaaBXsfM5tijMEXpJ8dS3QVyU6R19wG+7SYlrPvUxT2MMDah9zX+M0MWM7QpfS
yKTf5CLWwPmgxRRNdSI7/lAaGPfpjKeRMrBCn7bSp7Bgc6BQ8wmlnG3oTC5O9yn3
sqSbXBQblrCYC0q/NMPUWuKKDHXuEBttfNQVeqIs8ZxZBFmHKpceWGbt/kVhAkfn
j5sKEcwE80lkbWMllvlgibP9D7EtRt0M7mEGoVLTc8IfYd16NPoqhY6K3uTckorx
zQI6R16sw4EBiKZgxPCxECSOx1Q/3zR0jpZ6FZgLGUDN2rlPXkSaFwKF1LXuyTA=
=Rd2x
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución Linux