Hola, No creo que aplicar la politica de acptar todo y luego filtrar sea lo mas adecuando, deberias partir negando todo y luego dar acceso solo a los puertos que sean necesarios, respecto al servicio ftp este servicio utuliza los puertos 20 - 21, segun el listado que enviaste no aparecen con permisos para establecer las conexiones, por ejemplo:
Partiendo de la base de negar todo *filter :INPUT DROP [1:96] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -d eth0/24 -p tcp -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -d eth0/24 -p tcp -m tcp --dport 21 -j ACCEPT atte. Valentín González E. wrote: > Hola listeros, tengo el siguiente script de iptables en el cual tengo > problemas con el servicio ftp; no puedo conectarme a ningun site, la idea > de este script es que desde la lan solo puedan entrar a los > servcios o puerto declarados en el; la verdad quiciera que lo revisaran y > me dijeran que corregir pues la verdad he intentado varios cambios y no > logro nada, y este archivo me parece el mas correcto para que > funcione como yo quiero. > Cualquier sugerencia sera de mucha ayuda. > De antemano gracias. > > *filter > :INPUT ACCEPT [0:0] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [1972:339096] > -A INPUT -i lo -j ACCEPT > -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT > -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --sport > 1024:65535 --dport 21 -m state --state ESTABLISHED -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --sport > 1024:65535 --dport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT -A > FORWARD -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state > --state ESTABLISHED -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 > -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 80 > -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 443 > -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 445 > -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 139 > -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 1433 > -j ACCEPT > -A FORWARD -s 192.168.0.2 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A > FORWARD -s 192.168.0.61 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A > FORWARD -s 192.168.0.100 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A > FORWARD -s 192.168.0.101 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A > FORWARD -s 192.168.0.102 -i eth0 -p tcp -m tcp --dport 1863 -j ACCEPT -A > FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 11999 > -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 53 > -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -p udp -m udp --dport 53 > -j ACCEPT > -A FORWARD -s 192.168.0.0/255.255.255.0 -i eth0 -j DROP > COMMIT > *nat > :PREROUTING ACCEPT [12:1650] > :POSTROUTING ACCEPT [9:581] > :OUTPUT ACCEPT [54:3303] > -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 > -A POSTROUTING -o eth1 -j MASQUERADE > COMMIT > *mangle > :PREROUTING ACCEPT [2099:373200] > :INPUT ACCEPT [1887:334250] > :FORWARD ACCEPT [212:38950] > :OUTPUT ACCEPT [1972:339096] > :POSTROUTING ACCEPT [2184:378046] > COMMIT > Mauricio A. Rojas Barrientos Ing. de Ejec. en Informática counter.li.org #332258 _____________________________________________________ From [EMAIL PROTECTED] Mon Aug 9 13:05:24 2004 From: [EMAIL PROTECTED] (Alvaro Herrera) Date: Mon Aug 9 13:19:27 2004 Subject: Script iptables, problema con el ftp In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On Mon, Aug 09, 2004 at 11:40:40AM -0500, Valentín González E. wrote: > Hola listeros, tengo el siguiente script de iptables en el cual tengo > problemas con el servicio ftp; no puedo conectarme a ningun site, la idea > de este script es que desde la lan solo puedan entrar a los > servcios o puerto declarados en el; Estas usando el modulo ip_conntrack_ftp o ip_nat_ftp? Si no sabes de lo que hablo, creo que te conviene investigar. -- Alvaro Herrera (<alvherre[a]dcc.uchile.cl>) "Aprender sin pensar es inútil; pensar sin aprender, peligroso" (Confucio)
