[gilug.org] firewall

Marc Torres sarinyo gmail com
2006-03-15 16:10:49 UTC


Hola david, a veure si ho podem solucionar. Dius que:

> Tot em va perfecte excepte l'apartat del ftp, no aconsegueixo establir
> cap connexió amb aquest protocol. A continuació descric el meu
> firewall-gateway haviam si algú em pot ajudar a aconseguir que em
> funcioni l'ftp.

El que jo diria és que si el firewall està fent NAT (ja sigui
MASQUERADE o SNAT) per compartir la connexió (que suposo que sí), et
falta carregar els moduls ip_nat_ftp potser. No sé segur si és aquest
el seu nom (ho dic de memòria).

Si això no funciona el millor que pots fer és instal·lar tcpdump (o
algun altre esnifador de paquets) i mirar a veure què passa quan
probes de fer una connexió amb ftp. la comanda que li hauries de donar
seria:

tcpdump -i any not port 22 (si ho fas connectat al firewall amb ssh)
tcpdump -i any (si ho fas directament des del firewall). És un
programa un pèl rudimentari, però a mi m'ha anat molt bé per veure què
passava a través del firewall...

Per cert, un consell, has probat a posar la política per defecte a
DROP, així t'estalvies la última regla que ho rebutja tot... (llavors
has de escriure dues regles per línia, en el chain forward, ja que ha
de passar per una direcció i per l'altre...)

> #ACCEPTEM L'ACCES A FTP no em funciona, autentifica pero no accedeix
> iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 20:21 -j ACCEPT
> iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 20:21 -j ACCEPT
> iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 115 -j ACCEPT
> iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 115 -j ACCEPT

Això que et comento ara no n'estic segur del tot (ho vaig estar mirant
ja fa força temps i no ho recordo gaire bé), però l'ftp és molt
punyeter, ja que tu estableixes connexió al port 21 per autenticar-te
(que dius que sí que funciona) i fer comandes (ls, cd, pwd, etc.),
però quan el servidor t'ha de respondre ell fa una connexió cap a tu
al port 20, i aquesta connexió no s'arriba a establir mai ja que les
regles no ho permeten. El millor que pots fer és buscar més info sobre
l'ftp o si a la llista hi ha algú amb més coneixaments que jo a veure
si ens pot il·lustrar en el tema...

També pots provar l'ftp en mode passiu a veure què tal...

Sort i ja diràs el què!

Marc.



Més informació sobre la llista de correu gilug