Hola,
voy a meter la cuchara en algo que hace a�os que no toco, pero me llama
la atenci�n que nadie lo haya dicho hasta ahora...
On Mon, Mar 15, 2004 at 04:23:41PM -0500, [EMAIL PROTECTED] wrote:
> Buen dia...
>
> Tengo las siguientes reglas con el fin de permitir el FTP,
> inicialmente el FORWARD est� en DROP, pero por ningun lado me da.
> alguna idea ?
Primero y lo m�s fundamental: FTP es una borraja de protocolo. Deber�a
morir la muerte r�pida que hace tantos a�os pide a gritos. Si quiere
usar FTP pi�nselo dos veces y dese cuenta que no, que realmente no lo
quiere.
Dicho eso...
> iptables -A FORWARD -j ACCEPT -i $ifint -o $ifext -s $ip -p tcp --dport 21
> iptables -A FORWARD -j ACCEPT -o $ifint -i $ifext -d $ip -p tcp --sport 21
El motivo por el cual FTP es una borraja de procoloco es por la forma
antisocial en la que funciona: el cliente abre una conexi�n al puerto
st�ndard, negocia con el servidor, y a la hora de transmitir datos el
_cliente_ abre un puerto _local_ donde el _servidor_ se conecta y por
decirlo as� empuja los datos que el cliente le pidi�. Ignorando los
problemas de seguridad que eso introduce, est� el detalle adicional de
tener que configurar el firewall para que deje pasar conexiones
entrantes a puertos arbitrarios. La �nica forma de evitar eso es
monitorear activamente la conexi�n de control para "ver" cual es el
puerto que el cliente le dice al servidor que use para enviar los
datos. Para ponerlo m�s claro: el kernel tiene que entender suficiente
FTP como para poder obtener esa informaci�n... para arreglar la torta
alguien sali� con la idea de "ftp pasivo" que funciona m�s o menos al
rev�s, pero que en realidad no arregla mucho.
En corto: s�, el kernel entiende suficiente FTP como para poder hacer
eso.
Como no tengo realmente ganas de probar esto hasta que funcione en
ambos sentidos, dejo simplemente la informaci�n necesaria para poder
comenzar...
En el puerto 21 se hacen las conexiones de control.
En el puerto 20 se hacen las conexiones de datos.
Con el helper "ftp" se pueden seguir las conexiones relacionadas al
ftp... algo como:
--match helper --helper ftp
Saludos,
Marcelo
--
Desuscripci�n: escriba a [EMAIL PROTECTED], tema 'unsubscribe'
Problemas a: [EMAIL PROTECTED] http://www.linux.or.cr/listas
