Bom pessoal, gostaria que alguem me ajuda-se com o seguinte problema:
Montei um server linux com slack 12, com proxy transparent, e bloqueio de sites por squid e bloqueio de msn, skype, ares, por regras de iptables. Pois bem, existe um software chamado KITMAR, que é para corretores de seguros enviar dados para a seguradora, ficha cadastral do cara essas coisas, e esse programa utiliza a porta de ftp para conecta-se ao servidor(do programa). No caso oque ocorre é que, mesmo eu resetando todas as configurações do firewall, o software nao chega nem a conectar. Qdo eu ligo o modem direto na maquina ou o mesmo passa por um roteador simples (tipo esses dlink di-524) funciona normal.
Andei monitorando pelo Active ports (for windows - na maquina que utiliza o programa) e o tcpdump utilizando o grep ip da maquina para verificar as portas. e realmente ele tenta acessar a porta 21 e o acesso é negado - no caso do active ports ele da a mensagem SYN-SENT e pisca em verde e vermelho, e pelo que eu entendo ele nega o acesso ao servidor - isso deu depois que liberei todo o acesso 0.0.0.0 para o endereço ftp da kitmar (mesmo com o reset nas regras iptables e com o squid desligado).
Um detalhe que pode ser importante, o acesso do software(maquina com o programa) com o servidor (na parte interna) ele utiliza uma porta q vai da 1600 até 2500 aleatoria mente... ja tentei tambem liberar tudo(as portas), so que tambem nao fui feliz. Lembrando que fiz as regras para as portas 20 e 21 (ftp-data e ftp)
gostaria da ajuda de alguem para solucionar esse caso...
abraços ao amigos do forum
Thiago Ferreira
Xeonsoft Consultoria
[email protected]
...::: Xeonsoft Consultoria em Tecnologia :::....
-
13-03-2008, 02:30 #1
- Ingresso
- May 2004
- Posts
- 12
Problemas com Programa
Última edição por gAsU; 13-03-2008 às 02:32.
-
13-03-2008, 04:18 #2
um cliente (rede de farmacias) teve o mesmo problema com um software de um fornecedor, o que acontece eh que varios destes softwares nao fazem "passive mode" para conectar ao ftp... a solução neste caso é colocar um ip valido na maquina que vai rodar o software.. talvez um redirecionamento de ip 1:1 funcione...
se o software suportar proxy, ai vc informa o proxy no software.. tambem resolve
-
13-03-2008, 09:27 #3
- Ingresso
- May 2004
- Posts
- 12
Postado originalmente por alexandrecorrea
#############################
Alexandre, mas como assim um ip valido(seria um ip real)??? e como seria esse redirecionamento de 1:1... desculpe a pergunta... eh q nao entendi mesmo.... no caso o speedy (business) conectado na placa de rede... e wireless transmitindo para rede interna
-
13-03-2008, 09:32 #4
sim ip valido é um ip 'real'...
sobre o nat 1:1, voce coloca um segund ip na interface wan do seu servidor.. e faz regras de SNAT e DNAT desviando tudo q vai pra esse segundo ip.. para o ip interno do cliente.. e tudo que sai do ip interno do cliente para o ip valido...
-
13-03-2008, 11:54 #5
- Ingresso
- May 2004
- Posts
- 12
ta... mas como vou fazer isso utilizando um speedy, pelo q sei(posso estar errado), o speedy so me libera apenas 1 ip fixo para utilização. e mesmo que eu utilizar um outro ip valido na porta WAN, acredito nao ter essas condicoes.
Existe algum meio de ativar o passive mode???, pois mesmo fora do proxy, ou com o reset nas regras iptables, ele nao funciona.
tentei o acesso pelo proxy no programa.. mas nao fui feliz... nao funcionou tambem
brigado ate o momento alexandre...
-
13-03-2008, 12:08 #6
caso vc tenha +1 ip.. basta bolocar ele como alias da interface WAN do servidor.
e fazer as regras.. olha soh como ficaria:
ip do cliente: 192.168.0.200
ip principal: 200.200.200.1
ip secundario: 200.200.200.2
wan: eth0
lan: eth1
ifconfig eth0 200.200.200.1
ifconfig eth0:1 200.200.200.2
ifconfig eth1 192.168.0.1
iptables -t nat -A PREROUTING -d 200.200.200.2 -j DNAT --to-destination 192.168.0.200
iptables -t nat -A POSTROUTING -s 192.168.0.200 -j SNAT --to-source 200.200.200.2
é isso ai o nat 1:1 ..
-
27-03-2008, 15:31 #7
- Ingresso
- May 2004
- Posts
- 12
entao... so que ha um porem.... eu nao tenho um segundo ip valido... e no caso... oq eu posso fazer.... vou postar aqui o log do tcpdump para vcs me ajudarem
root@darkstar:/proc/sys/net/ipv4# tcpdump -i wlan1 | grep 10.1.1.21
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlan1, link-type EN10MB (Ethernet), capture size 96 bytes
15:28:11.596330 IP 10.1.1.21.1101 > 200.99.201.168.ftp: R 1990062425:1990062425(0) ack 3126686298 win 0
15:28:24.502784 IP 200.99.201.168.ftp > 10.1.1.21.1106: S 3953974197:3953974197(0) ack 468910 win 16384 <mss 1380,nop,wscale 0,nop,nop,sackOK>
15:28:25.983301 arp who-has 10.1.1.21 tell 10.1.1.1
15:28:26.065269 arp reply 10.1.1.21 is-at 00:18:e7:04:57:25 (oui Unknown)
root@darkstar:~# iptables -t filter -L -v -n
Chain INPUT (policy ACCEPT 482K packets, 331M bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 1001K packets, 572M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 200.99.0.0
52 2860 ACCEPT tcp -- wlan1 * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20
27124 20M ACCEPT tcp -- * wlan1 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
23561 11M ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT 581K packets, 355M bytes)
pkts bytes target prot opt in out source destination
alguem tem alguma ideia que eu possa fazer para esse programa funcionar (ele utiliza portas 21, 20 )
Ats
Citação
