Proxy trasnparente não deixa acessar ftp externo

[tio_chico]

Dae galera.... blz...

Sou novo aki no underlinux... mas conto com a ajuda de vcs....

to com um problema aki galera... eu fiz um proxy transparente... e com um firewall.... so q quando ta em proxy transparente ele naum entra em nenhum ftp externo.... ele loga no servidor ftp externo mas naum me mostra os arquivos.. algume ai sabe o prq???


Valew...{}




editado: not sticky anymore.

[wrochal]

Caro,

Execute o comando:

modprobe ip_nat_ftp

Falou,

[tio_chico]

kra... vc e d+ resolveu o meu problema... valew mesmo heim..





Valew......{}

[Lion_Black]

posta ai o seu squid.conf e seu script de firewall....

[robsonzornitta]

ai irmaum passa pra nos tuas confs ai pra vermos
vesmo que tenha resolvido o teu problema o comum aqui eh postar as confs para alguem que tenha os mesmos probs verem!!!!

Valeu????



:good:

[Lion_Black]

meu amigo .. eu to com o mesmo problema... e ja adicionei esse modulo

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp


a porta 20 e 21 estao abertas na chain input tanto udp como tcp ....

[agl77]

olha, estou tendo o seguinte problema.

tem um sisteminha em clipper que transmite via ftp as informações,
depois de eu ter colocado o servidor linux como roteador, ele loga no ftp, mas não faz o put, para nessa parte
coloquei o dosemu para funcionar no servidor.
mas... dentro dele não tinha o FTP.EXE o qual copiei de uma instalação do windows.

que dá o erro agora
this program not run in dos mode.
alguém tem algum ftp.exe compatível com o dos, ou sabe o q devo fazer para resolver isso??
grato
André

[Jim]

meu amigo .. eu to com o mesmo problema... e ja adicionei esse modulo

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp


a porta 20 e 21 estao abertas na chain input tanto udp como tcp ....

a nao ser que o servidor FTP esteja instalado no teu gw, nao adianta liberar no INPUT, libera no FORWARD

[DataForce]

Pessoal,
dei uma boa pesquisada sobre o assunto e acabei caindo aqui ;-)
Segui os passos comentados acima e no meu caso continuo sem conseguir acessar um servidor FTP que é totalmente necessário. Eu dou login e ele me dá acesso a pasta do usuário que loguei, quando eu entro nela não aparece nada, ele fica procurando os itens até expirar o tempo. Quando eu tiro o servidor com squid da jogada e deixo direto no modem, consigo acessar perfeitamente.
Meu firewall apenas deixar cruzar os pacotes sem nenhum bloqueia extra, apenas faz o NAT da rede para a internet.

Desde já aagradeço a atenção e a ajuda!!!

[wrochal]

Caro,

Como citei acima, bastaria ativar o seguinte módulo:

modprobe ip_nat_ftp

Sem Mais,

[felco]

olha, estou tendo o seguinte problema.

tem um sisteminha em clipper que transmite via ftp as informações,
depois de eu ter colocado o servidor linux como roteador, ele loga no ftp, mas não faz o put, para nessa parte
coloquei o dosemu para funcionar no servidor.
mas... dentro dele não tinha o FTP.EXE o qual copiei de uma instalação do windows.

que dá o erro agora
this program not run in dos mode.
alguém tem algum ftp.exe compatível com o dos, ou sabe o q devo fazer para resolver isso??
grato
André

O FTP.EXE apesar de rodar um modo DOS e um programa Windows, ou seja voce tem que rodar ele usando o Wine

[pssgyn]

Galera, no nosso caso na empresa, o nosso proxy é autenticado. Tivemos esses probleminhas. Carrego os módulos ip_nat_ftp, ip_conntrack_ftp , o firewall liberas as portas 20 e 21, mas também não ia. Não se isso tem a ver, mas quando coloquei os ips primário e secundário que estão no /etc/resolv.conf nas estações windows, ao invés do ip do gateway da rede, tudo passou a funcionar legal. Não sei se isso é mera coincidência. Mas fiz esse mesmo procedimento num cliente também funcionou.
Vivendo e aprendendo ...... 8-)

[rodrigofsantos]

Saudações a todos da lista...

Ja passei por este problema e realmente todas as opções apresentadas realmente devem funcionar mas seu caso se o servidor ftp estiver fora de sua rede você deve procupar no seu programa de ftp uma função de "modo passivo", ok.

Depois me responde se funcionou...

roddrigofsantos

[pssgyn]

Rodrigofsantos, boa noite. Nós também não temos ftp dentro da empresa. Utilizamos o ftp da BrasilTelecom aqui. A gente digita ftp://brte.data.qualquer coisa e também fica as vezes procurando, procurando e acaba expirando o tempo. Isso não acontece sempre. Mas volta e meia o usuário reclama disso. Nós colocamos o dns primário e secundário nas configurações de rede dos pc´s windows e vem funcionando razoávelmente. Já verifiquei o conf do squid, também não encontrei nada diferente. E o mais chato é que quando um cliente remoto, nos pede para acessarmos a nossa área de ftp na BrasilTelecom, para pegarmos algum arquivo lá, não conseguimos e ele consegue normal, aí dá nó na gente. É estranho isso.

[Lion_Black]

Desculpem a demora.. eu resolvi o meu dessa maneira adicionando essas regras no meu firewall

iptables -N BLOCK
iptables -A BLOCK -m state --state INVALID -j DROP
iptables -A BLOCK -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A INPUT -j BLOCK
iptables -A FORWARD -j BLOCK

Antes minhas regras estam como essas so que eu nao tinah adicionado a opção RELATED sem ela nao funfa! tem que liberar a RELATED no firewall

[josiel]

Bom galera no ftp exsite dois modos de transferir dados , conhecido como ftp ativo e ftp passivo
No ftp ativo a comunicação é feita na porta 21 e transfere dados na porta 20
No ftp passivo a comunicação é feita na porta 21 mas a transferencia é feita numa porta aleatória acima da 1024.
Resolvi isso criando algumas regrinhas além de levantar os modulos citados acima
iptables -A FORWARD -s MINHAREDE -d 0/0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 0/0 -d MINHAREDE -m state --state RELATED,ESTABLISHED -j ACCEPT
# Para o servidor que quero estabelecer FTP
iptables -A FORWARD -s MINHAREDE -d 200.x.x.1 -p tcp --dport 21 -j ACCEPT

Alguém pode supor ser uma falha de segurança, mas até o momento não tive problemas, por que só permiti pacotes estabelecidos, claro que existem outras regras de FORWARD, mas são essas que resolveram o problema com ftp.
Abraços

[spyderlinux]

LION, pelo que um amigo mi explicou sobre conexoes NEW.
Não é muito seguro. Fica muito aberto dessa forma pra rede.

Tente melhorar as regras ou procurar informações sobre conexões
( NEW, RELATED, ESTABLISHED ) Apenas uma dica e não uma critica.

Abraço

[lacierdias]

O FTP é um protocolo que dificulta muito a vida de quem implementa regras de filtragem no IPTABLES. O motivo é a forma que o FTP estabelece suas conexões, pois muitas vezes é impossível mapear quais portas serão feitas as conexões. O Connection Tracking é um módulo do Linux utilizado para acompanhar estas conexões "ajudando" o IPTABLES a saber que um determinado pacote é relacionado a uma conexão já existente. Primeiramente vamos carregar na máquina que irá fazer o FTP os módulos de Connection Tracking:


modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

Vamos entender como funciona a conexão de um cliente em um servidor de FTP:
Primeiro o cliente envia um pedido de conexão através de uma porta alta
(>1024) com destino a porta 21 do servidor de FTP. O servidor de FTP então responde este pedido utilizando a sua porta 21 na porta alta do cliente. Até então o funcionamento é comum a outras conexões TCP conhecidas.

Porém o FTP precisa de uma conexão de dados que pode ser estabelecida de duas formas: Utilizando FTP ATIVO ou PASSIVO.

No FTP ATIVO o cliente informa ao servidor uma porta alta através do comando PORT. O servidor então abre uma conexão utilizando a porta 20 nesta porta alta informada pelo cliente. NO FTP PASSIVO o servidor que informa ao cliente uma porta alta através do comando PORT. O cliente por sua vez abre uma conexão de uma porta alta nesta porta informada pelo servidor.

Enquanto no FTP ATIVO o servidor abre uma nova conexão de dados no cliente, no PASSIVO as conexões são abertas sempre pelo cliente, dessa forma agregando um pouco de segurança, porém temos pouco controle sobre quais portas serão utilizadas na hora de implementar as regras de firewall. Vamos agora as regras do IPTABLES:

Primeiro vamos liberar a saída da nova conexão para o servidor de FTP na porta 21:

iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


Agora vamos liberar a resposta do servidor para o cliente:


iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED, RELATED -j ACCEPT


Para o FTP ATIVO temos que liberar a conexão que o servidor abre para o cliente, porém liberar novas conexões de entrada é considerado inseguro, então o Connection Tracking consegue identificar que essa conexão é relacionada a conexão na porta 21 que já foi feita anteriormente, então não precisamos liberar o estado NEW:


iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT


e a saída de retorno:


iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT


Para o FTP PASSIVO temos que liberar conexões de uma porta alta para outra porta alta, porém com o Connection Tracking também permitiremos que estas conexões sejam estabelecidas somente se forem relacionadas a outra conexão feita anteriormente:


iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

Valeu.

Abraço

[spyderlinux]

Nesse caso, pelo que eu vi até agora.

Não tem como fazer as requisições da porta 21 e 20 serem direcionadas para a porta 3128 do proxy junto com a porta 80.


Estou com o problema agora do ftp.

CAR.....

[maverick_cba]

Muito sábio a explicação do nosso amigo Lacier. A propósito estou de volta.

Amigo, apesar do squid permitir, não é necessário direcionar conexões FTP para o proxy. Isso só sobrecarrega do bendito.

Recomendo deixar o tráfego fluir direto pelas interfaces.
A regra abaixo libera acesso para as estações internas acessarem servidores FTP externos permitindo que a conexão só possa ser iniciada apartir da rede interna.

$IPT -A FORWARD -p tcp -i $IF_INTERNA -o $IF_EXTERNA -m multiport --dport 20,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp -o $IF_INTERNA -i $IF_EXTERNA -m multiport --sport 20,21 -m state --state ESTABLISHED,RELATED -j ACCEPT

Obs: Não se esqueça de carregar os módulos auxiliares citados em outras soluções.