+ Responder ao Tópico



  1. 12-02-2008, 15:41 #1
    ronanbnu
    ronanbnu está desconectado
    Avatar de ronanbnu
    Ingresso
    Jul 2007
    Localização
    Blumenau - SC
    Posts
    48

    Padrão IPtables - problema acessar servidor FTP

    Estou com um script de firewall, bloqueando todas conexoes, quando quero liberar algo uso o mascaramento:

    Exemplo para os hosts conseguirem acessar um servidor ftp na web:
    iptables -t nat -A POSTROUTING -o ppp0 -m multiport -p tcp --dports 21 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o ppp0 -m multiport -p udp --dports 21 -j MASQUERADE

    Agora, acessar até acessa mas não lista a pasta acompanhando no Filezila quando vai fazer o LIST, ele trava, acompanhado as conexoes atraves do "iptstate -S 192.168.1.3" pude ver que ele utilizava outras portas TCP para conexão (portas altas), entao para contornar ou mascaro o IP 192.168.1.3 ou mascaro assim:

    iptables -t nat -A POSTROUTING -o ppp0 -m multiport -p tcp --dports 1024:65535 -j MASQUERADE
    sendo que dessa forma estou liberando todas as portas, e nao queria isso, gostaria de saber o que posso fazer.
    Citação Citação
  2. 13-02-2008, 01:07 #2
    zenun
    zenun está desconectado
    Avatar de zenun
    Ingresso
    Sep 2005
    Localização
    Rio de Janeiro
    Posts
    502
    Posts de Blog
    10

    Padrão

    Cara porque você não faz mascaramento uma vez só e vai librando o acesso na CHAIN forward e permite que conexões estabelecidas voltem sem problema?

    Código :
    iptables -t nat -A POSTROUTING -o $wan_if -j MASQUERADE
iptables -t filter -A FORWARD -i $wan_if -o $lan_if -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -i $lan_if -o $wan_if -p tcp --dport 21 -j ACCEPT
    Claro que para isso ter que ser configurado assim sua chain forward precisa estar com a politica padrão para DROP!
    Citação Citação
  3. 13-02-2008, 15:15 #3
    ronanbnu
    ronanbnu está desconectado
    Avatar de ronanbnu
    Ingresso
    Jul 2007
    Localização
    Blumenau - SC
    Posts
    48

    Padrão

    Citação Postado originalmente por zenun Ver Post
    Cara porque você não faz mascaramento uma vez só e vai librando o acesso na CHAIN forward e permite que conexões estabelecidas voltem sem problema?

    Código :
    iptables -t nat -A POSTROUTING -o $wan_if -j MASQUERADE
iptables -t filter -A FORWARD -i $wan_if -o $lan_if -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -i $lan_if -o $wan_if -p tcp --dport 21 -j ACCEPT
    Claro que para isso ter que ser configurado assim sua chain forward precisa estar com a politica padrão para DROP!
    OK Zenun, agradeço, vou analisar isso que você me disse, e depois posto novamente.
    Citação Citação
  4. 15-02-2008, 10:32 #4
    Vampayre
    Vampayre está desconectado
    Avatar de Vampayre
    Ingresso
    Oct 2002
    Posts
    116

    Padrão

    nao esqueça

    port ftp-data 20
    Citação Citação



« Tópico Anterior | Próximo Tópico »