Problema Banesfácil

**juliocm** · 09-06-2008, 15:59

Pessoal, estou com problemas mesmo sério de funcionamento!
Eu vou estudar essa "junsa" de banesfácil e observar o funcionamento.

O banesfácil não funciona com o squid! Vou estudar melhor o comporatamento dasse "jiringonsa" e fazer um arquivo futuramente aqui no under mostrando como se livrar dele.

**GregorioVenturim** · 09-06-2008, 16:16

Ficarei muitíssimo agradecido se conseguir resolver e compartilhar a informação !

Tá osso... preciso urgentemente encontrar uma solução pra esse problema, o pior é que assumi a uma semana o serviço de firewall e não conheço quase nada de Linux.

**Draconro** · 09-06-2008, 17:56

O que o nome diz, não tem nada de facil e sim de loucura no linux.
sim eu consegui resolver isto vc tem de habilitar as portas altas no seu servidor ou estação linux, tem de deixa o firewall trabalhar o ftp em modo passivo e ativo. so assim vc ira conseguir. E abra também a porta 20 que se não, não ira trafegar dado nenhum em sua rede de ftp. Se eu for amanha em uma empresa que eu presto manutenção, pego as linhas e te passo ok. Flws! T+.

**juliocm** · 10-06-2008, 11:14

Ficarei grato!

**GregorioVenturim** · 11-06-2008, 16:51

Como é de urgencia, resolvi fazer o seguinte.

iptables -I forward_ext -s x.x.x.x -j ACCEPT
iptables -I forward_int -s x.x.x.x -j ACCEPT

Assim todas as portas ficam liberadas tanto de entrada quanto saida, deixei configurado o ip da maquina que tem o banesfácil intalado. Os testes que o pessoal do Banestes tinha me solicitado, os de ftp e telnet funcionaram, não tive tempo ainda de testar o Banesfácil propriamente dito, mas acredito que funcione. Agora, assim que realizar as transações, é imprescindível bloquear estas regras, senão a máquina fica com a cara na internet.

Mas mesmo assim, preciso de ajuda para resolver esse problema de uma forma mais sensata !

**juliocm** · 11-06-2008, 19:43

Eu tentei isso...!!! ele conecta e tudo mas não transmite os arquivos...Quando você tenta enviar os arquivos ele mostra...
Conectando ao servidor....

mensagem: excedeu o limite máximo...tente se conectar novamente!

**GregorioVenturim** · 12-06-2008, 08:58

Exatamente.... aconteceu isso na hora que fui realizar os testes....

Acabei de entrar em contato com o suporte dele mas não deu em nada.... segundo informações o protocolo ftp deve estar em modo Ativo, mas não sei fazer isso não...

**tianguapontocom** · 12-06-2008, 10:18

Cara tenta isso, tira o trafego desse seu cliente do redirecionamento da 3128 e joga direto pra 80 "lembrando que a porta 80 não e do squid a porta do squid ea 3128 não misturem as bolas"

Código :

iptables -t nat -A PREROUTING -p tcp --dport 80 -
s ip_da_maquina_que_usa_seu_sistema -j ACCEPT

Atenção: não sei como esta seu firewall, mas tente utilizar o -I no lugar do -A, pos se vc utilizar o -A a regra vai pro final da tabela e pode não funcionar pq tem outras antes utilize o -I pra ir bem pro começo. Isso se vc tiver rodando ela diretamente no shell sem alterar seu arquivo de fire

**tianguapontocom** · 12-06-2008, 22:24

e ai, deu certo!!!????

**GregorioVenturim** · 13-06-2008, 07:52

Infelizmente nada !

Não sei se influencia e se tem alguma configuração, mas segundo o suporte deles é necessário liberar o acesso a FTP Ativo.

Pelo que eu li à respeito o servidor deles fica com a porta 21 aberta e assim meu sistema estabelece uma conexão através de uma porta acima de 1023.

**Magnun** · 13-06-2008, 14:19

Pessoal, dá uma olhada nisso:

O Protocolo FTP
O protocolo FTP (File Transfer Protocol) foi desenvolvido para transferir arquivos entre dois HOSTS. Duas conexões TCP são necessárias para poder realizar a transferência. Uma das conexões fica responsável por tratar os comandos tipo: (get, put, ls, etc...) e a outra para transferência dos dados.

Existem dois módulos de aplicação do protocolo FTP (PASSIVO E ATIVO).

FTP Ativo
O modo ATIVO do FTP é o mais antigo e o mais comum de ser utilizado. Ele usa a porta 21 para fazer a conexão e executar os comandos e a porta 20 para transferência dos dados.

O cliente solicita uma conexão através de uma porta local não privilegiada (acima da porta 1024) para o servidor na porta 21. Quando um comando é executado pelo cliente, o servidor responde solicitando uma conexão da porta 20 para uma nova porta não privilegiada, e como controle, essa porta é a soma da porta que o cliente usou para se conectar ao servidor na porta 21 +1.
http://www.brc.com.br/images/img_ftp01.jpg
Quando essa conexão é feita em uma rede local ou uma rede confiavel (sem filtro), não temos problema algum. Agora imagine que o cliente esteja atrás de um firewall.

Como o servidor FTP precisa se conectar ao da sua porta 20 para a porta acima de 1024 + 1 do cliente, então precisamos permitir no firewall do cliente conexões com origem porta 20 e destino a estação em qualquer porta acima de 1024. Porém isso não é muito bom, pois hackers podem criar aplicativos não FTP que usam a porta 20 como origem e tentar atacar serviços nas estações que estejam acima da porta 1024.

Para isso que foi desenvolvido o modo PASSIVO.

Como disse anteriormente, é bom verificar em qual sentido ele está exigindo essa comunicação. Uma vez utilizando FTP ativo, será necessário permitir a abertura de conexões "entrando" na rede interna. Pra isso provavelmente será necessário um redirecionamento...

Pelo visto esse Banesfácil, além de não ser fácil não ofereçe muita segurança... Seria interessante utilizar na regra de iptables o IP de orígem do Banesfácil pra reduzir as possíveis brechas de segurança...

**Draconro** · 14-06-2008, 01:40

Amigo eu uso essa configuração no meu servidor linux. Resolve o meu problema no banesfacil, mais não o do meu o proftpd.
Mas tenta e ve c vai resolver desse jeito pra vc.

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

Um abraço e boa sorte! Flws! t+

**juliocm** · 17-06-2008, 10:29

nossa...
se o cara fazer um não ftp ele te "arrebenta" nessas configurações...

**GregorioVenturim** · 18-06-2008, 07:52

Alguém conseguiu resolver ?

Tá osso, já tentei colocar tudo quanto é comando que me recomendaram mais nada de funcionar.

**Magnun** · 18-06-2008, 09:53

Postado originalmente por Draconro

Amigo eu uso essa configuração no meu servidor linux. Resolve o meu problema no banesfacil, mais não o do meu o proftpd.
Mas tenta e ve c vai resolver desse jeito pra vc.

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

Um abraço e boa sorte! Flws! t+

Acho que está faltando a regra de redirecionamento das portas acima de 1024, vindas da internet, que tenham porta de origem igual a 20, pro host que utiliza o banesfacil.

O NAT não permite que sejam abertas conexões a partir da internet. E mesmo que essas regras de INPUT ACCEPT estejam configuradas o endereço de destino da conexão é o IP válido da internet, que é o seu FW. Você tem que fazer um redirecionamento (utilizando DNAT) para o host que utiliza o banesfácil...

**GregorioVenturim** · 18-06-2008, 10:29

Transformando esse redirecionamento utilizando DNAT em códigos, ficaria como ?

**Magnun** · 18-06-2008, 10:56

Postado originalmente por GregorioVenturim

Transformando esse redirecionamento utilizando DNAT em códigos, ficaria como ?

Dá uma olhada nesse link aqui que é bem fácil cara: Guia Foca GNU/Linux - Firewall iptables

Qualquer dúvida posta ai...

**GregorioVenturim** · 18-06-2008, 13:20

Dei uma olhada no link enviado.
Agora esse IP x.x.x.x seria o servidor do Banesfácil ?

iptables -t nat -A PREROUTING -s x.x.x.x -i eth0 -j DNAT --to 192.168.1.2

Mesmo com essa regra, é interessante manter essas ?

iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

Desculpem minha ignorância, sou um iniciante !
Mas me esforçando pra aprender !

**Magnun** · 18-06-2008, 14:37

Postado originalmente por GregorioVenturim

Dei uma olhada no link enviado.
Agora esse IP x.x.x.x seria o servidor do Banesfácil ?

iptables -t nat -A PREROUTING -s x.x.x.x -i eth0 -j DNAT --to 192.168.1.2

Mesmo com essa regra, é interessante manter essas ?

iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

Desculpem minha ignorância, sou um iniciante !
Mas me esforçando pra aprender !

Na verdade acho que seria um pouco de tudo. Creio que a regra deva ser mais ou menos assim:
#fazendo o redirect das conexões entre o server basesfacil com
#porta de origem 20 e o host de destino 192.168.1.2 porta de
#destino 1024 pra cima.
iptables -t nat -A PREROUTING -s x.x.x.x -p tcp --sport 20 --dport 1024: -j DNAT --to 192.168.1.2

Exatamente, x.x.x.x e IP válido do servidor do banesfácil ao qual o seu host se conecta.
A regra que você postou não está incorreta, se a eth0 for sua interface pra internet, ela também funcionaria. So que ela engloba muita coisa!

Digamos que nesse mesmo IP x.x.x.x esteja rodando uma página web (porta 80), ninguém mais na sua rede iria acessar essa página pois todo o tráfego com origem de x.x.x.x está sendo enviado para o host 192.168.1.2. Por isso eu restringi que somente a porta de origem 20 (ftp-dados) é redirecionada para o 192.168.1.2.

O parâmetro --dport 1024: é somente para ter certeza que ele está abrindo conexão com portas acima de 1024.

Acho que somente essa regra resolve tudo...

Se você é iniciante está se saíndo muito bem! Também não sei de tudo...

Qualquer dúvida posta ai...

**Draconro** · 18-06-2008, 16:59

Ae esqueci de peguntar se vc esta usando um modem adsl em modo bridge ou em modo pppoe? Pois se vc estive utilizando um modem em modo ppoe utiliza o sistema DMZ so modem pra ser direcionado tudas as portas para um determinado ip que vc quer ok!? Mas se vc estiver usando-o em modo bridge vc deve de esta fazendo alguma coisa errada ae ok!

Abraços! Flws!

Problema Banesfácil

Ferramentas de Tópicos

Banesfacil

Acho que vai resolver...