FTP - IPTABLES

Colegas,

Tenho um mistério que não consigo solucionar :)
Tenho un ftp interno que está publicado para fora, em um endereço valido, em que meu firewall redireciona para dentro, tudo funciona 100% se problemas.
Mas por alguma razao que nao sei qual, da rede interna quando tento conectar no FTP pelo endereço válido e/ou nome de DNS que cai na interface externa do firewall, simplesmente não consigo, o firewall bloqueia o acesso, só consigo se conectar via IP interno do servidor de FTP. O erro é "Connection refused".

Obrigado
Rodrigo Sacramento

Vc poderia postar a regra que libera o acesso ao servidor FTP?

Desculpe a demora paea responder.
Seguem as regras

iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to ip do meu servidor:21

Desculpe a demora paea responder.
Seguem as regras

iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to ip do meu servidor:21

Olá,
vc tem servidor dns externo e INTERNO?
Um boa pratica é configurar um dns interno diferente do externo, ou seja em outra caixa.

Se vc tem somente o dns externo, quando (de dentro da rede) vc faz uma consulta para o servidor ftp, ele provavelmente irá responder com o endereço ip válido. e pela regra que vc colocou, ele so libera se vier da interface eth1 (iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT) e caso o firewall seja o detentor do ip válido, a conexão não sai p internet, ficando somente no firewall que redireciona para o lugar certo, sendo que a consulta foi feita da rede interna e não se encaixará na regra que vc colocou.

tente remover a especificação de interface da regra:

iptables -A INPUT -p tcp -d ip_internoDoServidor --dport 21 -j ACCEPT

veja se funciona.
Mas tem um porém, o ftp utiliza mais de um porta, uma para comandos e outra para transferencia de arquivos, se estiver no modo "Active" esta segunda porta é randomica, vc pode ler mais em:
Acessar servidores de FTP por trs do Firewall