Re: [l-plug] Consulta de IPtables

Mon, 04 Jun 2007 11:20:17 -0700 

hola Plug
tengo un problema con mis iptables, desde mi la tengo usuario que desean conectarse a un ftp externo a traves del programa ftp commander, en mi script tengo la siguiente regla. 

IF_WAN = eth0
LAN_LAN = 192.168.0.0/24
todo esta en drop, pero aun no logran conectarse, como mencione anteriormente desde el mismo firewall me conecto y puedo subir y bajar archivos con normalidad. 

$IPTABLES -A INPUT -p tcp -i $IF_WAN --sport 20:21 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -o $IF_WAN --dport 20:21 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 20:21 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -p tcp -s $LAN_LAN --dport 20:21 -j MASQUERADE 

aca le muestro el log de error que me sale en la aplicacion:

Connecting to freddyfpr.iespana.es , 04 jun 2007 13:16:02
< 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
< 220-You are user number 33 of 1000 allowed.
< 220-Local time is now 18:06. Server port: 21.
< 220-This is a private system - No anonymous login
< 220 You will be disconnected after 15 minutes of inactivity.

USER freddyfpr_5

< 331 User freddyfpr_5 OK. Password required

PASS (hidden)

< 230 OK. Current restricted directory is /

SYST

< 215 UNIX Type: L8

PWD

< 257 "/" is your current location

TYPE A

< 200 TYPE is now ASCII

PORT 192,168,0,157,4,115

< 500 I won't open a connection to 192.168.0.157 (only to 209.45.74.30)
Error 500 I won't open a connection to 192.168.0.157 (only to 209.45.74.30)
Connection closed
me podrian indicar si tengo que hacer algo adicional en las reglas de mi firewall. gracias de ante mano. 


Atte.
Juan k







From: "Ronald Urbano" <[EMAIL PROTECTED]>
Reply-To: [email protected]
To: [email protected]
Subject: Re: [l-plug] Consulta de IPtables
Date: Sun, 3 Jun 2007 11:41:14 -0500

Buenos dias.

Si esto esta dentro de un script( dentro de un fichero) quiza haga falta
quitar los comentarios ..."#" jeje, mentira supongo que eso ya esta .. o no? 

Bueno, ademas de eso, debes aplicar la regla en  FORWARD, ya que INPUT y
OUTPUT son para el mismo Firewall, no para aquello que pasa por él; Entonces 
debe quedar algo como:

$IPTABLES -A FORWARD -p tcp  --dport 20:21 -j ACCEPT

Ademas de enmascarar la peticiones que hagan tus clientes por una interface
publica de tu firewall( al menos q tus estaciones tengan ips publicas que
hayan sido ruteadas)
Esto servirá:
$IPTABLES -t nat -A POSTROUTING -p tcp  -s $RED_LAN  --dport 20:21 -j
MASQUERADE

Donde $RED_LAN es por ejem 192.168.0.0/24

Suerte


Atte.

Ronald -




El día 2/06/07, Freddy Puchuri Ranilla <[EMAIL PROTECTED]> escribió:



Hola Amigos:

Kiero hacerles una consulta  tengo un centos 4 y he creado mi script en
iptables, tengo un mi lan clientes que usan el FTP COMMANDER, para
conectarse a ftp externos, en el script tenbgo esta reglas:

IF_WAN = eth0

#$IPTABLES -A INPUT -p tcp -i $IF_WAN --sport 20:21 -j ACCEPT
#$IPTABLES -A OUTPUT -p tcp -o $IF_WAN --dport 20:21 -j ACCEPT


desde mi lan no se pueden conectar, he probado desde mi mismo firewall y
me
conecto a nivel de consola sin ningun problem y puedo bajar y subir
archivos. Podrian decirme si tengo que hacer algo adicional en mi
firewall.

Gracias por su ayuda

Atte.

Juan k

_________________________________________________________________
Las mejores tiendas, los precios mas bajos, entregas en todo el mundo,
YupiMSN Compras: http://latam.msn.com/compras/

_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)

Participa suscribiéndote y escribiendo a:  [email protected]
Para darte de alta, de baja  o hacer ajustes a tu suscripción visita:
http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug

IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php





_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)

Participa suscribiéndote y escribiendo a:  [email protected]
Para darte de alta, de baja  o hacer ajustes a tu suscripción visita:
http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug

IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php


_________________________________________________________________
Charla con tus amigos en línea mediante MSN Messenger: http://messenger.latam.msn.com/ 

_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)

Participa suscribiéndote y escribiendo a:  [email protected]
Para darte de alta, de baja  o hacer ajustes a tu suscripción visita:
http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug

IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php

Responder a