pasar mi firewall de linux para conectar a un ftp pasivo

Forums: 

Estoy lidiando con un problema cuando trato de conectarme a un ftp me falla la conexion y al ver un netstat veo paquetes syn hacia la ip del servidor pero con puertos de 60000 en adelante y en mi firewall tengo bloqueado todos los puertos del 3000 en adelante lo que quisiera ver es como puedo hacer una regla que permita conexiones establecidas por el puerto 21 y al regresar a la estacion el firewall las deje pasar, pero esas reglas de iptables cuando vienen con -m state NEW, ESTABLISHED las veo en chino aun no soy muy experto en protocolos tcp y buscando en ejemplos lo unico que he logrado es hacer que todos puedan conectarse con p2p cuando lo unico que deseo es que el forward me deje pasar cualquier conexion establecida del puerto 21 y la deje pasar cuando venga con otro puerto superior al 21 pero no doy con el clavo, alguien tiene un ejemplo de una regla parecida o alguna sugerencia, gracias por tomarse el tiempo en este post.

los ejemplos que he visto hablan de cuando el servidor que da ftp es pasivo lo que yo deseo es que mi firewall linux deje pasar a las estaciones de la lan hacia ftp de servidores remotos.

encontre este link y probe los ejemplos del ftp y funciono

Imagen de juandarcy2000

pero talvez alguien me dice si con esas reglas no me afecta la seguridad para bloquear los p2p y conexiones que sean superior a los puertos 3000 en adelante.
el sitio donde encontre el ejemplo esta aqui
http://cofradia.org/modules.php?name=News&file=article&sid=20935

[quote]##Permitiendo FTP
iptables -A FORWARD -p tcp -m tcp --sport ftp -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
# ftp activo
iptables -A FORWARD -p tcp -m tcp --sport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport ftp-data -m state --state ESTABLISHED -j ACCEPT
# ftp pasivo
iptables -A FORWARD -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT[/quote]

pero me acabo de dar cuenta

Imagen de juandarcy2000

que mis p2p se pueden conectar ahora cosa que antes no podian, por eso nunca le entiendo a esas reglas ya que siempre me brincan todas mis reglas y me provoncan un desastre total y nunca las puedo probar a largo plazo. alguien podria sugerirme que puedo hacer para mejorar estas reglas y solo afecten el ftp. :?
mi principal problema radica en esta regla.

[quote]iptables -A FORWARD -p tcp -m tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT[/quote]

Yo también tenía ese

Imagen de jcyepez

Yo también tenía ese problema hace algún tiempo, leyendo encotré la respuesta y por eso publiqué este artículo.

http://www.ecualug.org/?q=2008/02/22/blog/jcyepez/ip_conntrack_para_manejo_de_ftp

Saludos

Juan Yépez
093681879

Saludos

Juan Yépez
0993681879
Dj - Discomovil Quito

gracias man funciono lo raro es que ya lo habia probado

Imagen de juandarcy2000

y habia cargado los modulos pero no se si es que hay que hacerlo en orden ya que primero cargaba los modulos y luego ponia las reglas y no servia, ahora cargue la regla y cargue los modulos y funciona de maravilla, mi inquitud es si el comando modprobe hay que ejecutarlo cada vez que se reinicie con el servidor o ya queda cargado? porque si elimino la regla de los ftp en iptables los modulos quedan cargados quedan asi.


ip_conntrack 41077 2 iptable_nat,ipt_state
ip_tables 17601 11 ipt_REDIRECT,ipt_mac,iptable_nat,ipt_limit,ipt_LOG,ipt_REJECT,ipt_recent,ipt_state,iptable_filter,ipt_MARK,iptable_mangle

y al momento de cargar los modulos quedo asi.


ip_nat_ftp 5041 0
ip_conntrack_ftp 72817 1 ip_nat_ftp
iptable_nat 23549 3 ip_nat_ftp,ipt_REDIRECT
ip_conntrack 41077 4 ip_nat_ftp,ip_conntrack_ftp,ipt_state,iptable_nat
ip_tables 17601 11 ipt_MARK,iptable_mangle,ipt_limit,ipt_LOG,ipt_REJECT,ipt_recent,ipt_state,iptable_filter,ipt_REDIRECT,ipt_mac,iptable_nat

es una regla que hay que cargar los modulos manualmente o hay una forma de dejarlos permanentes? ya que cada vez que hago un service iptables restart me borra los modulos de ftp y tengo que cargarlos manualmente. yo veo que muchos usan un script para iptables pero yo uso el que se graba en /etc/sysconfig/iptables que es el que tiene cuando doy service iptables save ahi se graban las reglas, entonces cada vez que lo reinicio se borran los modulos.

Yo lo haría tocando el

Imagen de jcyepez

Yo lo haría tocando el archivo /etc/init.d/iptables.

Ahora, no es muy buena idea meterse en estos archivos si no se sabe lo que se quiere hacer así que por lo menos yo lo que hice es crear un script que reinicia el servicio y a la vez carga los módulos.

Saludos

Juan Yépez
093681879

Saludos

Juan Yépez
0993681879
Dj - Discomovil Quito

Bueno el post panas,

Imagen de damage

Bueno el post panas, interesante lo de los estados de las conexiones, me dejo la pelicula màs clara sobre eso chevere.
Efectivamente el modprobe debes cargarlo desde tu script de iptables mira mi ejemplo:

################### CARGANDO MODULOS ####################
/sbin/depmod -a
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_conntrack_h323
modprobe ip_nat_h323
modprobe ipt_REJECT
modprobe ipt_TOS
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_mangle
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ipt_ipp2p

Esos son lo mudulos que cargo desde mi firewall.sh
Saludos y gracias por compartir las experiencias.

Keep The Fire Burning.....
Stryper 1988

Páginas