On Wed, 15 Feb 2012 12:52:47 -0300, Javier Garay <javierzga...@gmail.com> wrote: > Hola colegas, saludo a todos. > > Quisiera saber si alguno de ustedes se ha enfrentado alguna vez con el > problema de hacer pasar por un NAT con iptables una conexión pasiva FTP. > > Tengo mi firewall haciendo Forward entre mi red LAN e Internet. El problema > del FTP pasivo es que éste solicita un puerto dinámico TCP en el rango > 1024:65535 determinado por el servidor FTP, pero si abro ese rango, > significa que permito el acceso a cualquier aplicación. He intentado > configurar reglas para permitir el acceso a ese rango de puerto solo si > existe una conexión establecida, pero sin éxito. > > Esto es algo de lo que he probado realizar: > > -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state --state > NEW,ESTABLISHED -j ACCEPT > -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 20 -m state --state > ESTABLISHED -j ACCEPT > -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -m state --state > ESTABLISHED,RELATED -j ACCEPT > > Las dos primeras reglas funcionan bien, el problema es la tercera regla. > Como sigue no me sirve, ya que permito el acceso a esos puertos a cualquier > aplicación: > > -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j ACCEPT > > Sé que una solución sería hacer Forward a la IP específica del servidor FTP > al que trato de acceder, pero quiero agotar los medios para saber si es > posible filtrar de manera genérica. > > Saludos. > > -- > Atte, > Javier Garay G. > Ingeniero en Informática. > Cel. 6834 4088
Haz intentado cargando los módulos para ello ? Creo que es : modprobe ip_conntrack_ftp modprobe ip_nat_ftp Saludos.