+ Responder ao Tópico



  1. #1

    Padrão Problemas com Programa

    Bom pessoal, gostaria que alguem me ajuda-se com o seguinte problema:

    Montei um server linux com slack 12, com proxy transparent, e bloqueio de sites por squid e bloqueio de msn, skype, ares, por regras de iptables. Pois bem, existe um software chamado KITMAR, que é para corretores de seguros enviar dados para a seguradora, ficha cadastral do cara essas coisas, e esse programa utiliza a porta de ftp para conecta-se ao servidor(do programa). No caso oque ocorre é que, mesmo eu resetando todas as configurações do firewall, o software nao chega nem a conectar. Qdo eu ligo o modem direto na maquina ou o mesmo passa por um roteador simples (tipo esses dlink di-524) funciona normal.
    Andei monitorando pelo Active ports (for windows - na maquina que utiliza o programa) e o tcpdump utilizando o grep ip da maquina para verificar as portas. e realmente ele tenta acessar a porta 21 e o acesso é negado - no caso do active ports ele da a mensagem SYN-SENT e pisca em verde e vermelho, e pelo que eu entendo ele nega o acesso ao servidor - isso deu depois que liberei todo o acesso 0.0.0.0 para o endereço ftp da kitmar (mesmo com o reset nas regras iptables e com o squid desligado).

    Um detalhe que pode ser importante, o acesso do software(maquina com o programa) com o servidor (na parte interna) ele utiliza uma porta q vai da 1600 até 2500 aleatoria mente... ja tentei tambem liberar tudo(as portas), so que tambem nao fui feliz. Lembrando que fiz as regras para as portas 20 e 21 (ftp-data e ftp)

    gostaria da ajuda de alguem para solucionar esse caso...

    abraços ao amigos do forum


    Última edição por gAsU; 13-03-2008 às 02:32.

  2. #2

    Padrão

    um cliente (rede de farmacias) teve o mesmo problema com um software de um fornecedor, o que acontece eh que varios destes softwares nao fazem "passive mode" para conectar ao ftp... a solução neste caso é colocar um ip valido na maquina que vai rodar o software.. talvez um redirecionamento de ip 1:1 funcione...

    se o software suportar proxy, ai vc informa o proxy no software.. tambem resolve



  3. #3

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    um cliente (rede de farmacias) teve o mesmo problema com um software de um fornecedor, o que acontece eh que varios destes softwares nao fazem "passive mode" para conectar ao ftp... a solução neste caso é colocar um ip valido na maquina que vai rodar o software.. talvez um redirecionamento de ip 1:1 funcione...

    se o software suportar proxy, ai vc informa o proxy no software.. tambem resolve

    #############################
    Alexandre, mas como assim um ip valido(seria um ip real)??? e como seria esse redirecionamento de 1:1... desculpe a pergunta... eh q nao entendi mesmo.... no caso o speedy (business) conectado na placa de rede... e wireless transmitindo para rede interna

  4. #4

    Padrão

    sim ip valido é um ip 'real'...

    sobre o nat 1:1, voce coloca um segund ip na interface wan do seu servidor.. e faz regras de SNAT e DNAT desviando tudo q vai pra esse segundo ip.. para o ip interno do cliente.. e tudo que sai do ip interno do cliente para o ip valido...



  5. #5

    Padrão

    ta... mas como vou fazer isso utilizando um speedy, pelo q sei(posso estar errado), o speedy so me libera apenas 1 ip fixo para utilização. e mesmo que eu utilizar um outro ip valido na porta WAN, acredito nao ter essas condicoes.

    Existe algum meio de ativar o passive mode???, pois mesmo fora do proxy, ou com o reset nas regras iptables, ele nao funciona.

    tentei o acesso pelo proxy no programa.. mas nao fui feliz... nao funcionou tambem

    brigado ate o momento alexandre...

  6. #6

    Padrão

    caso vc tenha +1 ip.. basta bolocar ele como alias da interface WAN do servidor.

    e fazer as regras.. olha soh como ficaria:

    ip do cliente: 192.168.0.200

    ip principal: 200.200.200.1
    ip secundario: 200.200.200.2

    wan: eth0
    lan: eth1


    ifconfig eth0 200.200.200.1
    ifconfig eth0:1 200.200.200.2

    ifconfig eth1 192.168.0.1

    iptables -t nat -A PREROUTING -d 200.200.200.2 -j DNAT --to-destination 192.168.0.200
    iptables -t nat -A POSTROUTING -s 192.168.0.200 -j SNAT --to-source 200.200.200.2




    é isso ai o nat 1:1 ..



  7. #7

    Padrão

    entao... so que ha um porem.... eu nao tenho um segundo ip valido... e no caso... oq eu posso fazer.... vou postar aqui o log do tcpdump para vcs me ajudarem

    [email protected]:/proc/sys/net/ipv4# tcpdump -i wlan1 | grep 10.1.1.21
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on wlan1, link-type EN10MB (Ethernet), capture size 96 bytes
    15:28:11.596330 IP 10.1.1.21.1101 > 200.99.201.168.ftp: R 1990062425:1990062425(0) ack 3126686298 win 0
    15:28:24.502784 IP 200.99.201.168.ftp > 10.1.1.21.1106: S 3953974197:3953974197(0) ack 468910 win 16384 <mss 1380,nop,wscale 0,nop,nop,sackOK>
    15:28:25.983301 arp who-has 10.1.1.21 tell 10.1.1.1
    15:28:26.065269 arp reply 10.1.1.21 is-at 00:18:e7:04:57:25 (oui Unknown)



    [email protected]:~# iptables -t filter -L -v -n
    Chain INPUT (policy ACCEPT 482K packets, 331M bytes)
    pkts bytes target prot opt in out source destination
    Chain FORWARD (policy ACCEPT 1001K packets, 572M bytes)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 200.99.0.0
    52 2860 ACCEPT tcp -- wlan1 * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20
    0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20
    27124 20M ACCEPT tcp -- * wlan1 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    23561 11M ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    Chain OUTPUT (policy ACCEPT 581K packets, 355M bytes)
    pkts bytes target prot opt in out source destination


    alguem tem alguma ideia que eu possa fazer para esse programa funcionar (ele utiliza portas 21, 20 )

    Ats