Redirecionar porta do serviço de FTP

**aprendiz_ce** · 09-07-2009, 16:13

Estou fazendo o redireciomento da porta 2121 para a 21 do serviço de FTP. O usuário conecta perfeitamente ao servidor, mas se o mesmo fizer download ocorre um erro de RECEPÇÃO. O que pode ser? Basta redirecionar a PORTA 2121 e pronto, ou tenho que fazer mais algum ajuste?

Linha usada no redirecionamento:

iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:21

Obrigado e aguardo qualquer comentário.

Abraço.

**ppastoriza** · 10-07-2009, 07:56

O Ftp trabalha com duas portas, a 20 e a 21. A porta 21 é para o
trafego do dados (arquivos) e a porta 20 é para o trafego dos comandos
(lis, dir, cd e outros). Vc terá que fazer a mesma regra que fez, para
a porta 20 tb.

(linux-br)ftp e porta

Entre muitos outros.

Tenta fazer um dnat para a 20 também e posta se deu certo.

**aprendiz_ce** · 10-07-2009, 10:22

Postado originalmente por ppastoriza

O Ftp trabalha com duas portas, a 20 e a 21. A porta 21 é para o
trafego do dados (arquivos) e a porta 20 é para o trafego dos comandos
(lis, dir, cd e outros). Vc terá que fazer a mesma regra que fez, para
a porta 20 tb.

(linux-br)ftp e porta

Entre muitos outros.

Tenta fazer um dnat para a 20 também e posta se deu certo.

Você fala para fazer assim:

iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:20

iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:21

Seria só isso? O UDP não é necessário não?

Obrigado pela sua atenção.

**ppastoriza** · 10-07-2009, 10:32

Desculpa, esqueci de perguntar, você tem ip valido?? As portas de serviço estão habilitadas??
Se sim, tenta assim:

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -t nat -A PREROUTING -p tcp --destination-port 20:21 -i EXTERNA -j DNAT --to-destination xxx.xxx.xxx.xxx

Lembrando que tem que ver como estão os teus polices da FILTER, input e forward.
E se existe alguma regra para essas portas no firewall.

**aprendiz_ce** · 10-07-2009, 10:41

Postado originalmente por ppastoriza

Desculpa, esqueci de perguntar, você tem ip valido?? As portas de serviço estão habilitadas??
Se sim, tenta assim:

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -t nat -A PREROUTING -p tcp --destination-port 20:21 -i EXTERNA -j DNAT --to-destination xxx.xxx.xxx.xxx

Lembrando que tem que ver como estão os teus polices da FILTER, input e forward.
E se existe alguma regra para essas portas no firewall.

Sem problemas!

O meu IP é válido sim. Para esse teste estou liberando tudo. Não entendi a sua regra não, pois estou "entrando" pela porta 2121...

Obrigado pela atenção e aguardo retorno.

**ppastoriza** · 10-07-2009, 10:47

Mantém a tua regra e adiciona os modprobe e testa.
Se não der abaixo tem uma regra minha, ajusta ela pro teu ambiente colocando a interface e o ip da maquina interna que vai receber o FTP. Se quiser te ajudo a testar daqui. Me adiciona no gtalk, paulo arouba globalsupport.com.br

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:21

Minha.
iptables -t nat -A PREROUTING -i INTERFACE_EXTERNA -p tcp --dport 2121 -j DNAT --to-destination xxx.xxx.xxx.xxx:21

Alias, é só tcp mesmo.

**aprendiz_ce** · 10-07-2009, 11:37

Postado originalmente por ppastoriza

Mantém a tua regra e adiciona os modprobe e testa.
Se não der abaixo tem uma regra minha, ajusta ela pro teu ambiente colocando a interface e o ip da maquina interna que vai receber o FTP. Se quiser te ajudo a testar daqui. Me adiciona no gtalk, paulo arouba globalsupport.com.br

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 2121 -j DNAT --to 192.198.1.1:21

Minha.
iptables -t nat -A PREROUTING -i INTERFACE_EXTERNA -p tcp --dport 2121 -j DNAT --to-destination xxx.xxx.xxx.xxx:21

Alias, é só tcp mesmo.

Olá Paulo,

Eu já fiz isso faz tempo, Ok? Consigo conectar de boa no SERVIDOR FTP pela porta 2121, só não consigo fazer DOWNLOADS/UPLOADS utilizando o REDIRECINAMENTO DE PORTA que no meu caso é a porta 2121 para para 21. Como você mencionou que tenho que fazer a mesma coisa com a porta 20... Como ficaria a regra nesse caso?

Obrigado e aguardo retorno.

Abraco.

**ppastoriza** · 10-07-2009, 11:49

Ah, não sei. Eu sempre usei na porta padrão. Direcionando diretamente a 21 e a 20. Já pensou que o problema pode ser de permissão no diretorio do ftp em vez de problema com as portas?
Já que ele conecta, mas não pode copiar nem enviar.. Mais que isso só acessando os dois sistemas pra olhar efetivamente o que esta acontecendo. Fazer isso pelo fórum é que nem desenhar um objeto com alguém te dando dicas, impossível.

Outra coisa, tu consegue acessar o ftp da tua maquina, nesse pc da tua rede interna, e salvar e copiar arquivos??

**aprendiz_ce** · 10-07-2009, 11:59

Postado originalmente por ppastoriza

Ah, não sei. Eu sempre usei na porta padrão. Direcionando diretamente a 21 e a 20. Já pensou que o problema pode ser de permissão no diretorio do ftp em vez de problema com as portas?
Já que ele conecta, mas não pode copiar nem enviar.. Mais que isso só acessando os dois sistemas pra olhar efetivamente o que esta acontecendo. Fazer isso pelo fórum é que nem desenhar um objeto com alguém te dando dicas, impossível.

Outra coisa, tu consegue acessar o ftp da tua maquina, nesse pc da tua rede interna, e salvar e copiar arquivos??

Pela rede local (interna) faço tudo numa boa. Todos os comandos remotos funcionam perfeitamente. O problema tá só com as conexões externa que sofrem o REDIRECIONAMENTO.

Muitissímo obrgado pela sua atenção e se achar algo... me dê um toque, por favor.

Um forte abraço.

**ppastoriza** · 10-07-2009, 12:32

É questão de honra, você pode postar o script de fw que você esta usando, omitindo os ips se preferir, o script completo. E o conf de configuração do servidor ftp também?

Att.,

**Lincoln** · 10-07-2009, 13:14

brother... se tu num fizer SNAT tambem num vai funcionar nunca...

Código :

iptables -t nat -A PREROUTING -s $IPVALIDO -p tcp --dport numerodaporta -j DNAT --to ipdomicroaseracessado
 
iptables -t nat -A POSTROUTING -s ipdomicroaseracessado -p tcp --dport numerodaporta -j SNAT --to $IPVALIDO

este procedimento para cada porta ok, ou seja, para cada porta as duas regras acima?
e vc precisa fazer para UDP sim senhor.... para porta 21, que é a que transmite os comandos se não me engano.

**ppastoriza** · 10-07-2009, 13:28

Me mostra então, ftp é tcp.
Eu não faço SNAT e tenho um servidor funcionando assim.

Internet --> PcIPValidoLinux(DNAT 20:21) --> Win2003(FTP 21)

E funça...

Att.,

**Lincoln** · 10-07-2009, 16:55

mano...
Não conheço seu firewall, mas pela pouco que sei...
o ceeeeerto mesmo é fazer DNAT e SNAT...

Tanto é que o nosso amigo aprendiz_ce não havia conseguido com as suas regras.
isso se deve ao fato de ele não usar a mesma estrutura que vc, confesso que tambem ja funcionou comigo apenas com DNAT, porem não lembro ao certo o porque, mas haviam regras antes ou depois que permitiam tal acesso.
se eu não me engano era alguma coisa relacionada a forward, provavelmente vc deve compartilhar a conexão que vc faz esse redirecionamento não é ????

Mas so pra frizar...

da uma olhada nestes posts que eu respondi. pelo menos "ESTES" funcionaram.

Problemas ao liberar portas no Firewall

Regra firewall com IP dinamico - Página 4

e sim FTP é tcp, e UDP tambem..

quem quiser confirmar, ta ai um site que mostra as portas PADRÕES

Lista de Portas - TCP/UDP

abraço a todos.

**aprendiz_ce** · 10-07-2009, 17:05

Postado originalmente por ppastoriza

É questão de honra, você pode postar o script de fw que você esta usando, omitindo os ips se preferir, o script completo. E o conf de configuração do servidor ftp também?

Att.,

Olá Paulo,

A coisa é muito "sinistra", mas acabou dando certo. Habilitei o "modo passivo" no servidor e me conectei de fora utilizando o "modo passivo" no cliente de FTP e funcionou. Não fiz grandes testes ainda, mas coisas simples como um "ls" ou "cd" não funcionavam e agora estão dando certo.

Obrigado mais uma vez pela sua atenção e qualquer coisa posto aqui alguma novidade.

Um forte abraço,

**aprendiz_ce** · 10-07-2009, 17:42

Postado originalmente por Lincoln

brother... se tu num fizer SNAT tambem num vai funcionar nunca...

Código :

iptables -t nat -A PREROUTING -s $IPVALIDO -p tcp --dport numerodaporta -j DNAT --to ipdomicroaseracessado
 
iptables -t nat -A POSTROUTING -s ipdomicroaseracessado -p tcp --dport numerodaporta -j SNAT --to $IPVALIDO

este procedimento para cada porta ok, ou seja, para cada porta as duas regras acima?
e vc precisa fazer para UDP sim senhor.... para porta 21, que é a que transmite os comandos se não me engano.

Olá,

Assim que me sobrar um tempinho vou testar essas regras e vê se funciona.

Obrigado pela sua atenção.

Abraço.

**ppastoriza** · 10-07-2009, 17:48

Menos mal, nem imaginei que era ativo o teu ftp.

Mas eu uso ftp somente com tcp.
[ame=http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers]List of TCP and UDP port numbers - Wikipedia, the free encyclopedia[/ame]
Cada um com a sua listagem

**Lincoln** · 13-07-2009, 08:57

Postado originalmente por ppastoriza

Me mostra então, ftp é tcp.
Eu não faço SNAT e tenho um servidor funcionando assim.

Internet --> PcIPValidoLinux(DNAT 20:21) --> Win2003(FTP 21)

E funça...

Att.,

[Dica] Problema Comum no Redirecionando com Iptables (NAT & SNAT) - Parte 1/2

Redirecionar porta do serviço de FTP

Ferramentas de Tópicos

Redirecionar porta do serviço de FTP