Muchas gracias, era ese mi problema. Saludos.
El 15 de febrero de 2012 13:18, Larry Letelier <barbud...@gmail.com>escribió: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > On 15/02/12 12:59, Hector Gatica wrote: > > On Wed, 15 Feb 2012 12:52:47 -0300, Javier Garay > > <javierzga...@gmail.com> wrote: > >> Hola colegas, saludo a todos. > >> > >> Quisiera saber si alguno de ustedes se ha enfrentado alguna vez > >> con el problema de hacer pasar por un NAT con iptables una > >> conexión pasiva FTP. > >> > >> Tengo mi firewall haciendo Forward entre mi red LAN e Internet. > >> El problema del FTP pasivo es que éste solicita un puerto > >> dinámico TCP en el rango 1024:65535 determinado por el servidor > >> FTP, pero si abro ese rango, significa que permito el acceso a > >> cualquier aplicación. He intentado configurar reglas para > >> permitir el acceso a ese rango de puerto solo si existe una > >> conexión establecida, pero sin éxito. > >> > >> Esto es algo de lo que he probado realizar: > >> > >> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state > >> --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s > >> 192.168.20.0/26 -p tcp --dport 20 -m state --state ESTABLISHED -j > >> ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: > >> -m state --state ESTABLISHED,RELATED -j ACCEPT > >> > >> Las dos primeras reglas funcionan bien, el problema es la tercera > >> regla. Como sigue no me sirve, ya que permito el acceso a esos > >> puertos a cualquier aplicación: > >> > >> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j > >> ACCEPT > >> > >> Sé que una solución sería hacer Forward a la IP específica del > >> servidor FTP al que trato de acceder, pero quiero agotar los > >> medios para saber si es posible filtrar de manera genérica. > >> > >> Saludos. > >> > >> -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834 > >> 4088 > > > > Haz intentado cargando los módulos para ello ? > > > > Creo que es : > > > > modprobe ip_conntrack_ftp modprobe ip_nat_ftp > > > > Saludos. > > Lo es/son: > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.12 (GNU/Linux) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ > > iQEcBAEBAgAGBQJPO9rAAAoJEPrcLH/1RnsgI94IAMTY1B/X9BCXR51RetLb8A5L > BKUaaBXsfM5tijMEXpJ8dS3QVyU6R19wG+7SYlrPvUxT2MMDah9zX+M0MWM7QpfS > yKTf5CLWwPmgxRRNdSI7/lAaGPfpjKeRMrBCn7bSp7Bgc6BQ8wmlnG3oTC5O9yn3 > sqSbXBQblrCYC0q/NMPUWuKKDHXuEBttfNQVeqIs8ZxZBFmHKpceWGbt/kVhAkfn > j5sKEcwE80lkbWMllvlgibP9D7EtRt0M7mEGoVLTc8IfYd16NPoqhY6K3uTckorx > zQI6R16sw4EBiKZgxPCxECSOx1Q/3zR0jpZ6FZgLGUDN2rlPXkSaFwKF1LXuyTA= > =Rd2x > -----END PGP SIGNATURE----- > -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834 4088