Problema con FTP Pasivo
Javier Garay
javierzgaray en gmail.com
Mie Feb 15 14:38:47 CLST 2012
Muchas gracias, era ese mi problema.
Saludos.
El 15 de febrero de 2012 13:18, Larry Letelier <barbudone en gmail.com>escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> On 15/02/12 12:59, Hector Gatica wrote:
> > On Wed, 15 Feb 2012 12:52:47 -0300, Javier Garay
> > <javierzgaray en gmail.com> wrote:
> >> Hola colegas, saludo a todos.
> >>
> >> Quisiera saber si alguno de ustedes se ha enfrentado alguna vez
> >> con el problema de hacer pasar por un NAT con iptables una
> >> conexión pasiva FTP.
> >>
> >> Tengo mi firewall haciendo Forward entre mi red LAN e Internet.
> >> El problema del FTP pasivo es que éste solicita un puerto
> >> dinámico TCP en el rango 1024:65535 determinado por el servidor
> >> FTP, pero si abro ese rango, significa que permito el acceso a
> >> cualquier aplicación. He intentado configurar reglas para
> >> permitir el acceso a ese rango de puerto solo si existe una
> >> conexión establecida, pero sin éxito.
> >>
> >> Esto es algo de lo que he probado realizar:
> >>
> >> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state
> >> --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s
> >> 192.168.20.0/26 -p tcp --dport 20 -m state --state ESTABLISHED -j
> >> ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024:
> >> -m state --state ESTABLISHED,RELATED -j ACCEPT
> >>
> >> Las dos primeras reglas funcionan bien, el problema es la tercera
> >> regla. Como sigue no me sirve, ya que permito el acceso a esos
> >> puertos a cualquier aplicación:
> >>
> >> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j
> >> ACCEPT
> >>
> >> Sé que una solución sería hacer Forward a la IP específica del
> >> servidor FTP al que trato de acceder, pero quiero agotar los
> >> medios para saber si es posible filtrar de manera genérica.
> >>
> >> Saludos.
> >>
> >> -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834
> >> 4088
> >
> > Haz intentado cargando los módulos para ello ?
> >
> > Creo que es :
> >
> > modprobe ip_conntrack_ftp modprobe ip_nat_ftp
> >
> > Saludos.
>
> Lo es/son:
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.12 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iQEcBAEBAgAGBQJPO9rAAAoJEPrcLH/1RnsgI94IAMTY1B/X9BCXR51RetLb8A5L
> BKUaaBXsfM5tijMEXpJ8dS3QVyU6R19wG+7SYlrPvUxT2MMDah9zX+M0MWM7QpfS
> yKTf5CLWwPmgxRRNdSI7/lAaGPfpjKeRMrBCn7bSp7Bgc6BQ8wmlnG3oTC5O9yn3
> sqSbXBQblrCYC0q/NMPUWuKKDHXuEBttfNQVeqIs8ZxZBFmHKpceWGbt/kVhAkfn
> j5sKEcwE80lkbWMllvlgibP9D7EtRt0M7mEGoVLTc8IfYd16NPoqhY6K3uTckorx
> zQI6R16sw4EBiKZgxPCxECSOx1Q/3zR0jpZ6FZgLGUDN2rlPXkSaFwKF1LXuyTA=
> =Rd2x
> -----END PGP SIGNATURE-----
>
--
Atte,
Javier Garay G.
Ingeniero en Informática.
Cel. 6834 4088
Más información sobre la lista de distribución Linux