fazer FTP pelo proxy transparente!!!

[oxito]

Estou montando um servidor proxy e pintou um problema, quando tento fazer uma conexão FTP recusa o que tenho que colocar de modulo ou no iptables para fazer funcionar?

[]'

[gmlinux]

Se seu proxy não estiver bloqueando o ftp, verifique se o cliente de ftp esta configurado para usar proxy (lembre-se que o squid usa esquema de proxy http mesmo para ftp)
por exemplo, para configurar alguns clientes para usar o squid

export ftp_proxy=http://iport/

ou no arquivo de configuração

[oxito]

Se seu proxy não estiver bloqueando o ftp, verifique se o cliente de ftp esta configurado para usar proxy (lembre-se que o squid usa esquema de proxy http mesmo para ftp)
por exemplo, para configurar alguns clientes para usar o squid

export ftp_proxy=http://iport/

ou no arquivo de configuração

Não entendi, onde coloco esta linha? no squid.conf não tem! lendo uns documento existe uns modulos tipo

modprobe iptable_nat_ftp

mais não aceita esta comando no cosole, o que teria que fazer para ele aceita?

[wrochal]

Caro,

Você esta fazendo NAT, se sim execute o comando abaixo:

/sbin/modprobe iptable_nat_ftp

falou,

[gmlinux]

Depois que o wrocha respondeu é que me atentei melhor a pergunta:
Seguinte, se você deseja passar pela ferramenta squid, você possui um proxy transparente (http) e deseja que o ftp passe pelo proxy, é aquilo que falei, aponta para a porta dele (3128 normalmente), se seu objetivo é fazer o ftp passar pela máquina que possui o proxy, então fassa os procedimentos necessários para o kernel linux liberar.

A linha que eu passei é para o lado do cliente de ftp para linux (vários usam esta linha), se pegar o IE, vai na configuração de proxy dele e configura proxy apenas para o ftp.

[oxito]

Caro,

Você esta fazendo NAT, se sim execute o comando abaixo:

/sbin/modprobe iptable_nat_ftp

falou,

Sim estou fazendo o Nat o problema que tentei colocar esta linha mais o linux não aceita o que teria que fazer para ele aceita?

Digitei no console,

# /sbin/modprobe iptable_nat_ftp
modprobe: Can't locate module iptable_nat_ftp

[Danilo_Montagna]

o correto é: ip_nat_ftp

e nao iptable_nat_ftp

[gmlinux]

ip_nat_ftp e ip_conntrack_ftp para o suporte a nat e connection tracking

[oxito]

ip_nat_ftp e ip_conntrack_ftp para o suporte a nat e connection tracking

O serviço esta levantado qual a regra para fica no iptabels?

[gmlinux]

Por partes, que serviço esta levantado?
Se é de ftp, então você vai servir? eu entendi que queria liberar o acesso da rede interna para ftp server do mundo...

[oxito]

Veja que no comando lsmod esta aparecendo o serviço, mais não esta em uso por nenhum regra, o que estou colocando no rc.local é;

#lsmod
pcmcia_core 39972 0 [orinoco_cs ds yenta_socket]
ip_nat_irc 2128 0 (unused)
ip_nat_ftp 2736 0 (unused)
iptable_nat 15438 3 [ipt_REDIRECT ipt_MASQUERADE ip_nat_irc

#rc.local
iptables -I FORWARD -p tcp --dport 21 -j ACCEPT

do servidor consigo fazen um fpt 200.200.200.200 mais do terminal que esta com o ipfalso fazendo o NAT não.

[gmlinux]

já observou se o pacote proveniente da máquina interna atravessa seu kernel e sai pela outra interface teve o endereço de origem alterado?
quando o pacote retorna, ele atravessa novamente?
olha se existe regra para permitir que os pacotes que retornem de tais conexões atravessem na volta.
Por exemplo, se no forward só existe esta regra:
iptables -I FORWARD -p tcp --dport 21 -j ACCEPT

então, pacotes que entrem por qualquer das interfaces com destino a rede da outra interface na porta 21 do destino são permitidos de atravessar o kernel, mais o endereço de origem permanecera o mesmo (o que não resolveria seus problemas com a rede de ip reservado)

Leia sobre SNAT ou MASQUERADE no POSTROUTING aqui por exemplo:
http://www.pcs.usp.br/~jkinoshi/ftp/...ables-nat-snat
http://www.csh.rit.edu/~mattw/proj/nf/

[oxito]

Olhei todo os link e não consegui tira nada para resolver meu problema, vc poderia posta aqui ou para mim como ficara a linhas do iptables para funciona o ftp na minha rede interna?

[]'

[Danilo_Montagna]

amigao.. faz isso aqui..

iptables -t nat -A POSTROUTING -p tcp -o eth0 -s rede_interna --dport 21 -j SNAT --to ip_internet

iptables -A FORWARD -p tcp -s rede_interna -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

onde:

eth0 = interface externa
rede_interna = range da sua rede , e. g.: 192.168.0.0/24
ip_internet = endereço IP vinculado a interface de internet do seu firewall

falow

[oxito]

amigao.. faz isso aqui..

iptables -t nat -A POSTROUTING -p tcp -o eth0 -s rede_interna --dport 21 -j SNAT --to ip_internet

iptables -A FORWARD -p tcp -s rede_interna -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

onde:

eth0 = interface externa
rede_interna = range da sua rede , e. g.: 192.168.0.0/24
ip_internet = endereço IP vinculado a interface de internet do seu firewall

falow

Coloquei a regra conforme vc passou ficando assin;
iptables -t nat -A POSTROUTING -p tcp -o eth0 -s 192.168.0.0/24 --dport 21 -j SNAT --to 200.200.200.100
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

pedi usuario e senha, depois que digito a senha aparece esta msg
conexão terminada pelo host remote.

Como ficaria a regra para toda a rede eth1=interna ter acesso para qualquer servidor ftp?

[]'