Postado originalmente por
GuE
Galera seguinte, se eu rodo o ftp no firewall fica tudo certim, porem quem vai roda ftp é outra maquina interna, olha como fiz o firewall, no proftd dexei como passiveport de 60000 a 61000, eu presivo fazer um dnat nessas portas ou so na 21 e 20 ? pois não esta funcionando o prerouting, so lembrando que o gateway do ftp não é o meu firewall é o cisco citado acima.
#Ativando Nat
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#Limpando configurações anteriores"
iptables -F
#Portas de INPUT Free
#loopback
iptables -A INPUT -i lo -j ACCEPT
#LIBERA UOL
iptables -t nat -I PREROUTING -i eth0 -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT
#teste FTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to 192.168.1.250:21
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 20 -j DNAT --to 192.168.1.250:20
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 60000:61000 -j DNAT --to 192.168.1.250:60000
#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#FTP
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
#WWW
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#Rede Local Free
iptables -A INPUT -p tcp --syn -i eth0 -j ACCEPT
iptables -A INPUT -p udp -i eth0 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP