+ Responder ao Tópico



  1. Pessoal, dá uma olhada nisso:

    O Protocolo FTP
    O protocolo FTP (File Transfer Protocol) foi desenvolvido para transferir arquivos entre dois HOSTS. Duas conexões TCP são necessárias para poder realizar a transferência. Uma das conexões fica responsável por tratar os comandos tipo: (get, put, ls, etc...) e a outra para transferência dos dados.

    Existem dois módulos de aplicação do protocolo FTP (PASSIVO E ATIVO).

    FTP Ativo
    O modo ATIVO do FTP é o mais antigo e o mais comum de ser utilizado. Ele usa a porta 21 para fazer a conexão e executar os comandos e a porta 20 para transferência dos dados.

    O cliente solicita uma conexão através de uma porta local não privilegiada (acima da porta 1024) para o servidor na porta 21. Quando um comando é executado pelo cliente, o servidor responde solicitando uma conexão da porta 20 para uma nova porta não privilegiada, e como controle, essa porta é a soma da porta que o cliente usou para se conectar ao servidor na porta 21 +1.
    http://www.brc.com.br/images/img_ftp01.jpg
    Quando essa conexão é feita em uma rede local ou uma rede confiavel (sem filtro), não temos problema algum. Agora imagine que o cliente esteja atrás de um firewall.

    Como o servidor FTP precisa se conectar ao da sua porta 20 para a porta acima de 1024 + 1 do cliente, então precisamos permitir no firewall do cliente conexões com origem porta 20 e destino a estação em qualquer porta acima de 1024. Porém isso não é muito bom, pois hackers podem criar aplicativos não FTP que usam a porta 20 como origem e tentar atacar serviços nas estações que estejam acima da porta 1024.

    Para isso que foi desenvolvido o modo PASSIVO.


    Como disse anteriormente, é bom verificar em qual sentido ele está exigindo essa comunicação. Uma vez utilizando FTP ativo, será necessário permitir a abertura de conexões "entrando" na rede interna. Pra isso provavelmente será necessário um redirecionamento...

    Pelo visto esse Banesfácil, além de não ser fácil não ofereçe muita segurança... Seria interessante utilizar na regra de iptables o IP de orígem do Banesfácil pra reduzir as possíveis brechas de segurança...
    Última edição por Magnun; 13-06-2008 às 13:24.

  2. Amigo eu uso essa configuração no meu servidor linux. Resolve o meu problema no banesfacil, mais não o do meu o proftpd.
    Mas tenta e ve c vai resolver desse jeito pra vc.

    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp

    iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

    iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

    Um abraço e boa sorte! Flws! t+



  3. nossa...
    se o cara fazer um não ftp ele te "arrebenta" nessas configurações...

  4. Alguém conseguiu resolver ?

    Tá osso, já tentei colocar tudo quanto é comando que me recomendaram mais nada de funcionar.



  5. Citação Postado originalmente por Draconro Ver Post
    Amigo eu uso essa configuração no meu servidor linux. Resolve o meu problema no banesfacil, mais não o do meu o proftpd.
    Mas tenta e ve c vai resolver desse jeito pra vc.

    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp

    iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

    iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

    Um abraço e boa sorte! Flws! t+
    Acho que está faltando a regra de redirecionamento das portas acima de 1024, vindas da internet, que tenham porta de origem igual a 20, pro host que utiliza o banesfacil.

    O NAT não permite que sejam abertas conexões a partir da internet. E mesmo que essas regras de INPUT ACCEPT estejam configuradas o endereço de destino da conexão é o IP válido da internet, que é o seu FW. Você tem que fazer um redirecionamento (utilizando DNAT) para o host que utiliza o banesfácil...






Tópicos Similares

  1. Problema com o ssh pelo windows !!!
    Por embbr no fórum Servidores de Rede
    Respostas: 1
    Último Post: 01-07-2002, 18:10
  2. problemas com o IMP
    Por marlonfuchs no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-06-2002, 08:13
  3. problemas iptables
    Por cyberrato no fórum Servidores de Rede
    Respostas: 1
    Último Post: 07-06-2002, 10:47
  4. PHP - novato com problemas !
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 03-06-2002, 20:30
  5. Problemas ao adicionar o samba ao dominio nt
    Por clmr no fórum Servidores de Rede
    Respostas: 0
    Último Post: 23-04-2002, 10:31

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L