Hola colegas, saludo a todos. Quisiera saber si alguno de ustedes se ha enfrentado alguna vez con el problema de hacer pasar por un NAT con iptables una conexión pasiva FTP.
Tengo mi firewall haciendo Forward entre mi red LAN e Internet. El problema del FTP pasivo es que éste solicita un puerto dinámico TCP en el rango 1024:65535 determinado por el servidor FTP, pero si abro ese rango, significa que permito el acceso a cualquier aplicación. He intentado configurar reglas para permitir el acceso a ese rango de puerto solo si existe una conexión establecida, pero sin éxito. Esto es algo de lo que he probado realizar: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT Las dos primeras reglas funcionan bien, el problema es la tercera regla. Como sigue no me sirve, ya que permito el acceso a esos puertos a cualquier aplicación: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j ACCEPT Sé que una solución sería hacer Forward a la IP específica del servidor FTP al que trato de acceder, pero quiero agotar los medios para saber si es posible filtrar de manera genérica. Saludos. -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834 4088