+ Responder ao Tópico



  1. #1

    Padrão Redirecionar porta do serviço de FTP

    Estou fazendo o redireciomento da porta 2121 para a 21 do serviço de FTP. O usuário conecta perfeitamente ao servidor, mas se o mesmo fizer download ocorre um erro de RECEPÇÃO. O que pode ser? Basta redirecionar a PORTA 2121 e pronto, ou tenho que fazer mais algum ajuste?

    Linha usada no redirecionamento:

    iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:21

    Obrigado e aguardo qualquer comentário.

    Abraço.

  2. #2

    Padrão

    O Ftp trabalha com duas portas, a 20 e a 21. A porta 21 é para o
    trafego do dados (arquivos) e a porta 20 é para o trafego dos comandos
    (lis, dir, cd e outros). Vc terá que fazer a mesma regra que fez, para
    a porta 20 tb.

    (linux-br)ftp e porta

    Entre muitos outros.

    Tenta fazer um dnat para a 20 também e posta se deu certo.



  3. #3

    Padrão

    Citação Postado originalmente por ppastoriza Ver Post
    O Ftp trabalha com duas portas, a 20 e a 21. A porta 21 é para o
    trafego do dados (arquivos) e a porta 20 é para o trafego dos comandos
    (lis, dir, cd e outros). Vc terá que fazer a mesma regra que fez, para
    a porta 20 tb.

    (linux-br)ftp e porta

    Entre muitos outros.

    Tenta fazer um dnat para a 20 também e posta se deu certo.
    Você fala para fazer assim:

    iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:20

    iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:21

    Seria só isso? O UDP não é necessário não?

    Obrigado pela sua atenção.

  4. #4

    Padrão

    Desculpa, esqueci de perguntar, você tem ip valido?? As portas de serviço estão habilitadas??
    Se sim, tenta assim:

    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp

    iptables -t nat -A PREROUTING -p tcp --destination-port 20:21 -i EXTERNA -j DNAT --to-destination xxx.xxx.xxx.xxx

    Lembrando que tem que ver como estão os teus polices da FILTER, input e forward.
    E se existe alguma regra para essas portas no firewall.



  5. #5

    Padrão

    Citação Postado originalmente por ppastoriza Ver Post
    Desculpa, esqueci de perguntar, você tem ip valido?? As portas de serviço estão habilitadas??
    Se sim, tenta assim:

    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp

    iptables -t nat -A PREROUTING -p tcp --destination-port 20:21 -i EXTERNA -j DNAT --to-destination xxx.xxx.xxx.xxx

    Lembrando que tem que ver como estão os teus polices da FILTER, input e forward.
    E se existe alguma regra para essas portas no firewall.
    Sem problemas!

    O meu IP é válido sim. Para esse teste estou liberando tudo. Não entendi a sua regra não, pois estou "entrando" pela porta 2121...

    Obrigado pela atenção e aguardo retorno.

  6. #6

    Padrão

    Mantém a tua regra e adiciona os modprobe e testa.
    Se não der abaixo tem uma regra minha, ajusta ela pro teu ambiente colocando a interface e o ip da maquina interna que vai receber o FTP. Se quiser te ajudo a testar daqui. Me adiciona no gtalk, paulo arouba globalsupport.com.br

    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:21

    Minha.
    iptables -t nat -A PREROUTING -i INTERFACE_EXTERNA -p tcp --dport 2121 -j DNAT --to-destination xxx.xxx.xxx.xxx:21

    Alias, é só tcp mesmo.



  7. #7

    Padrão

    Citação Postado originalmente por ppastoriza Ver Post
    Mantém a tua regra e adiciona os modprobe e testa.
    Se não der abaixo tem uma regra minha, ajusta ela pro teu ambiente colocando a interface e o ip da maquina interna que vai receber o FTP. Se quiser te ajudo a testar daqui. Me adiciona no gtalk, paulo arouba globalsupport.com.br

    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:21

    Minha.
    iptables -t nat -A PREROUTING -i INTERFACE_EXTERNA -p tcp --dport 2121 -j DNAT --to-destination xxx.xxx.xxx.xxx:21

    Alias, é só tcp mesmo.
    Olá Paulo,

    Eu já fiz isso faz tempo, Ok? Consigo conectar de boa no SERVIDOR FTP pela porta 2121, só não consigo fazer DOWNLOADS/UPLOADS utilizando o REDIRECINAMENTO DE PORTA que no meu caso é a porta 2121 para para 21. Como você mencionou que tenho que fazer a mesma coisa com a porta 20... Como ficaria a regra nesse caso?

    Obrigado e aguardo retorno.

    Abraco.

  8. #8

    Padrão

    Ah, não sei. Eu sempre usei na porta padrão. Direcionando diretamente a 21 e a 20. Já pensou que o problema pode ser de permissão no diretorio do ftp em vez de problema com as portas?
    Já que ele conecta, mas não pode copiar nem enviar.. Mais que isso só acessando os dois sistemas pra olhar efetivamente o que esta acontecendo. Fazer isso pelo fórum é que nem desenhar um objeto com alguém te dando dicas, impossível.

    Outra coisa, tu consegue acessar o ftp da tua maquina, nesse pc da tua rede interna, e salvar e copiar arquivos??



  9. #9

    Padrão

    Citação Postado originalmente por ppastoriza Ver Post
    Ah, não sei. Eu sempre usei na porta padrão. Direcionando diretamente a 21 e a 20. Já pensou que o problema pode ser de permissão no diretorio do ftp em vez de problema com as portas?
    Já que ele conecta, mas não pode copiar nem enviar.. Mais que isso só acessando os dois sistemas pra olhar efetivamente o que esta acontecendo. Fazer isso pelo fórum é que nem desenhar um objeto com alguém te dando dicas, impossível.

    Outra coisa, tu consegue acessar o ftp da tua maquina, nesse pc da tua rede interna, e salvar e copiar arquivos??
    Pela rede local (interna) faço tudo numa boa. Todos os comandos remotos funcionam perfeitamente. O problema tá só com as conexões externa que sofrem o REDIRECIONAMENTO.

    Muitissímo obrgado pela sua atenção e se achar algo... me dê um toque, por favor.

    Um forte abraço.

  10. #10

    Padrão

    É questão de honra, você pode postar o script de fw que você esta usando, omitindo os ips se preferir, o script completo. E o conf de configuração do servidor ftp também?

    Att.,



  11. #11

    Padrão

    brother... se tu num fizer SNAT tambem num vai funcionar nunca...


    Código :
    iptables -t nat -A PREROUTING -s $IPVALIDO -p tcp --dport numerodaporta -j DNAT --to ipdomicroaseracessado
     
    iptables -t nat -A POSTROUTING -s ipdomicroaseracessado -p tcp --dport numerodaporta -j SNAT --to $IPVALIDO

    este procedimento para cada porta ok, ou seja, para cada porta as duas regras acima?
    e vc precisa fazer para UDP sim senhor.... para porta 21, que é a que transmite os comandos se não me engano.
    Última edição por Lincoln; 10-07-2009 às 13:19.

  12. #12

    Padrão

    Me mostra então, ftp é tcp.
    Eu não faço SNAT e tenho um servidor funcionando assim.

    Internet --> PcIPValidoLinux(DNAT 20:21) --> Win2003(FTP 21)

    E funça...

    Att.,



  13. #13

    Padrão

    mano...
    Não conheço seu firewall, mas pela pouco que sei...
    o ceeeeerto mesmo é fazer DNAT e SNAT...

    Tanto é que o nosso amigo aprendiz_ce não havia conseguido com as suas regras.
    isso se deve ao fato de ele não usar a mesma estrutura que vc, confesso que tambem ja funcionou comigo apenas com DNAT, porem não lembro ao certo o porque, mas haviam regras antes ou depois que permitiam tal acesso.
    se eu não me engano era alguma coisa relacionada a forward, provavelmente vc deve compartilhar a conexão que vc faz esse redirecionamento não é ????

    Mas so pra frizar...

    da uma olhada nestes posts que eu respondi. pelo menos "ESTES" funcionaram.

    Problemas ao liberar portas no Firewall

    Regra firewall com IP dinamico - Página 4


    e sim FTP é tcp, e UDP tambem..

    quem quiser confirmar, ta ai um site que mostra as portas PADRÕES

    Lista de Portas - TCP/UDP

    abraço a todos.

  14. #14

    Padrão

    Citação Postado originalmente por ppastoriza Ver Post
    É questão de honra, você pode postar o script de fw que você esta usando, omitindo os ips se preferir, o script completo. E o conf de configuração do servidor ftp também?

    Att.,
    Olá Paulo,

    A coisa é muito "sinistra", mas acabou dando certo. Habilitei o "modo passivo" no servidor e me conectei de fora utilizando o "modo passivo" no cliente de FTP e funcionou. Não fiz grandes testes ainda, mas coisas simples como um "ls" ou "cd" não funcionavam e agora estão dando certo.

    Obrigado mais uma vez pela sua atenção e qualquer coisa posto aqui alguma novidade.

    Um forte abraço,
    Última edição por aprendiz_ce; 10-07-2009 às 17:37.



  15. #15

    Padrão

    Citação Postado originalmente por Lincoln Ver Post
    brother... se tu num fizer SNAT tambem num vai funcionar nunca...


    Código :
    iptables -t nat -A PREROUTING -s $IPVALIDO -p tcp --dport numerodaporta -j DNAT --to ipdomicroaseracessado
     
    iptables -t nat -A POSTROUTING -s ipdomicroaseracessado -p tcp --dport numerodaporta -j SNAT --to $IPVALIDO

    este procedimento para cada porta ok, ou seja, para cada porta as duas regras acima?
    e vc precisa fazer para UDP sim senhor.... para porta 21, que é a que transmite os comandos se não me engano.
    Olá,

    Assim que me sobrar um tempinho vou testar essas regras e vê se funciona.

    Obrigado pela sua atenção.

    Abraço.

  16. #16

    Padrão

    Menos mal, nem imaginei que era ativo o teu ftp.

    Mas eu uso ftp somente com tcp.
    [ame=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers]List of TCP and UDP port numbers - Wikipedia, the free encyclopedia[/ame]
    Cada um com a sua listagem



  17. #17

    Padrão

    Citação Postado originalmente por ppastoriza Ver Post
    Me mostra então, ftp é tcp.
    Eu não faço SNAT e tenho um servidor funcionando assim.

    Internet --> PcIPValidoLinux(DNAT 20:21) --> Win2003(FTP 21)

    E funça...

    Att.,
    [Dica] Problema Comum no Redirecionando com Iptables (NAT & SNAT) - Parte 1/2