Re: Iptables y ftp interno
El Jueves, 21 de Septiembre de 2006 22:47, Kader Portales Ferrer escribió: Hola lista, tengo el sgte problema, tengo una pc con la que quiero redireccionar todo el acceso hacia un web y un ftp de la una red interna, ya he logrado que el web sea visible pero no así con el ftp, aquí le envío las reglas que he metido en el iptables para la tabla del nat: server1:~# iptables -L -n -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:21 to:192.168.170.7:20 DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:21 to:192.168.170.7:21 DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:80 to:192.168.170.7:80 Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT tcp -- 0.0.0.0/0192.168.170.7 tcp dpt:20 to:192.168.170.2 SNAT tcp -- 0.0.0.0/0192.168.170.7 tcp dpt:21 to:192.168.170.2 SNAT tcp -- 0.0.0.0/0192.168.170.7 tcp dpt:80 to:192.168.170.2 Chain OUTPUT (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:21 to:192.168.170.7:20 DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:21 to:192.168.170.7:21 DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:80 to:192.168.170.7:80 Me falta hacer algo más?. Busca sobre el problema de FTP y los firewalls. Debes cargar un módulo (o dos si haces también NAT). Una pista: el puerto de control es el 21, pero el de datos se negocia y se comunica dentro de los datos de aplicación TCP, así que el firewall (capa 3) no se puede enterar. Por eso hace falta un módulo para que tu sistema TCP/IP analice el contenido de los datos del control de FTP para poder permitir el tráfico entrante o saliente por ese puerto. -- Iñaki
Re: Iptables y ftp interno
El 21/09/06, Kader Portales Ferrer[EMAIL PROTECTED] escribió: Hola lista, tengo el sgte problema, tengo una pc con la que quiero redireccionar todo el acceso hacia un web y un ftp de la una red interna, ya he logrado que el web sea visible pero no así con el ftp, aquí le envío las reglas que he metido en el iptables para la tabla del nat: server1:~# iptables -L -n -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:21 to:192.168.170.7:20 DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:21 to:192.168.170.7:21 DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:80 to:192.168.170.7:80 Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT tcp -- 0.0.0.0/0192.168.170.7 tcp dpt:20 to:192.168.170.2 SNAT tcp -- 0.0.0.0/0192.168.170.7 tcp dpt:21 to:192.168.170.2 SNAT tcp -- 0.0.0.0/0192.168.170.7 tcp dpt:80 to:192.168.170.2 Chain OUTPUT (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:21 to:192.168.170.7:20 DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:21 to:192.168.170.7:21 DNAT tcp -- 0.0.0.0/0192.168.159.98 tcp dpt:80 to:192.168.170.7:80 Me falta hacer algo más?. por que no posteas tu script en vez de la salida asi es mas facil darce cuenta saludos -- Saludos. -- Kader Portales Ferrer Administrador de red Centro de Informática y Comunicaciones Instituto Superior Pedagógico Frank País García Santiago de Cuba, Cuba E-mail: [EMAIL PROTECTED] Linux User: 386116 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inutiles cronicos, yo no fui, seguro que es mas inteligente.
Re: Iptables y ftp interno
--- [EMAIL PROTECTED] escribió: Hola lista, tengo el sgte problema, tengo una pc con la que quiero redireccionar todo el acceso hacia un web y un ftp de la una red interna, ya he logrado que el web sea visible pero no así con el ftp, Estos modulos son necesarios tenerlos montados en el kernel, ip_conntrack ip_conntrack_ftp ip_nat_ftp Tambien recuerda que si se trata de FTP Activo (o normal) el cliente usa cualquier puerto abajo del 1024 al 21 del lado del servidor de FTP para dar las ordenes, el servidor envia la informacion por su puerto 20 al puerto indicado por el comando PORT del lado del cliente y por este canal se transfieren los datos. Si es modo Pasivo la conexion de comandos se establace de la misma forma, pero en lugar de dar el comando PORT, pasa el comando PASV por el cual solicita al servidor que le indique un puerto abierto abajo del 1024 para transferir los datos. Es decir, Activo = El cliente abre el puerto de comandos y el servidor abre al cliente el puerto de datos. Pasivo = El cliente abre el puerto de comandos y el cliente abre el puerto de datos. Espero haber sido de ayuda, hasta pronto. Atentamente: Max Raul Cruz Rodriguez Somos código. Ante todo, código genético, por supuesto: un código lleno de errores, y orientado exclusivamente a la supervivencia, una supervivencia en la que no existen condicionantes morales. http://www.bufetalmeida.com/republica/node62.html Republica Internet. _ Create tu cuenta de webmail en www.esdebian.org