+ Responder ao Tópico



  1. #1

    Padrão IPtables - problema acessar servidor FTP

    Estou com um script de firewall, bloqueando todas conexoes, quando quero liberar algo uso o mascaramento:

    Exemplo para os hosts conseguirem acessar um servidor ftp na web:
    iptables -t nat -A POSTROUTING -o ppp0 -m multiport -p tcp --dports 21 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o ppp0 -m multiport -p udp --dports 21 -j MASQUERADE

    Agora, acessar até acessa mas não lista a pasta acompanhando no Filezila quando vai fazer o LIST, ele trava, acompanhado as conexoes atraves do "iptstate -S 192.168.1.3" pude ver que ele utilizava outras portas TCP para conexão (portas altas), entao para contornar ou mascaro o IP 192.168.1.3 ou mascaro assim:

    iptables -t nat -A POSTROUTING -o ppp0 -m multiport -p tcp --dports 1024:65535 -j MASQUERADE
    sendo que dessa forma estou liberando todas as portas, e nao queria isso, gostaria de saber o que posso fazer.

  2. #2

    Padrão

    Cara porque você não faz mascaramento uma vez só e vai librando o acesso na CHAIN forward e permite que conexões estabelecidas voltem sem problema?

    Código :
    iptables -t nat -A POSTROUTING -o $wan_if -j MASQUERADE
    iptables -t filter -A FORWARD -i $wan_if -o $lan_if -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A FORWARD -i $lan_if -o $wan_if -p tcp --dport 21 -j ACCEPT
    Claro que para isso ter que ser configurado assim sua chain forward precisa estar com a politica padrão para DROP!



  3. #3

    Padrão

    Citação Postado originalmente por zenun Ver Post
    Cara porque você não faz mascaramento uma vez só e vai librando o acesso na CHAIN forward e permite que conexões estabelecidas voltem sem problema?

    Código :
    iptables -t nat -A POSTROUTING -o $wan_if -j MASQUERADE
    iptables -t filter -A FORWARD -i $wan_if -o $lan_if -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -t filter -A FORWARD -i $lan_if -o $wan_if -p tcp --dport 21 -j ACCEPT
    Claro que para isso ter que ser configurado assim sua chain forward precisa estar com a politica padrão para DROP!
    OK Zenun, agradeço, vou analisar isso que você me disse, e depois posto novamente.

  4. #4