Buen dia a todos / Marcelo mil gracias.
Necesito activar el paso ftp porque necesariamente es la unica forma de
mantener actualizado el antivirus que se tiene en la empresa para la cual
labor�, las reglas que coloco a continuaci�n me funcionaban perfectamente
en otra maquina que ten�a anteriormente.
iptables -A FORWARD -j ACCEPT -i $ifext -p tcp --sport 21
iptables -A FORWARD -j ACCEPT -i $ifint -p tcp --dport 21
iptables -A FORWARD -j ACCEPT -i $ifext -p tcp --sport 20
iptables -A FORWARD -j ACCEPT -i $ifint -p tcp --dport 20
Cuando trato de conectarme por una herramienta FTP, me genera el siguiente
log, personalmente creo que si se est� conectando (tanto asi que me dice
que soy el usuario #), pero al final no me da ningun contenido.
Status: Looking up hostname "ftpav.ca.com" ...
Status: Trying to connect to ftpav.ca.com ...
220 cacodheva7 NcFTPd Server (licensed copy) ready.
Status: Connected !
Status: Waiting for response...
Command: USER anonymous
331 Guest login ok, send your complete e-mail address as
password.
Status: Waiting for response...
Command: PASS *****
230-You are user #72 of 3000 simultaneous users allowed.
230-
230 Logged in anonymously.
Status: Ready
Status: Waiting for response...
Command: TYPE A
200 Type okay.
Status: Ready
Status: Waiting for response...
Command: PORT 10,10,2,201,9,251
___________________________________________________
Jorge Hugo Bonilla Hern�ndez
T�cnico de Tecnolog�a
C.I. PROBAN S.A. - Urab�
574 8280036 Ext. 3521
573 3155395359
"Despu�s de saber cu�ndo debemos aprovechar una oportunidad,
lo m�s importante es saber cu�ndo debemos renunciar a una ventaja".
[EMAIL PROTECTED] escribi�: -----
Para: [EMAIL PROTECTED]
De : "Marcelo E. Magallon" <[EMAIL PROTECTED]>
Enviado por: [EMAIL PROTECTED]
Fecha: 17/03/2004 22:16
Asunto: Re: FTP - iptables
Hola,
voy a meter la cuchara en algo que hace a�os que no toco, pero me llama
la atenci�n que nadie lo haya dicho hasta ahora...
On Mon, Mar 15, 2004 at 04:23:41PM -0500, [EMAIL PROTECTED] wrote:
> Buen dia...
>
> Tengo las siguientes reglas con el fin de permitir el FTP,
> inicialmente el FORWARD est� en DROP, pero por ningun lado me da.
> alguna idea ?
Primero y lo m�s fundamental: FTP es una borraja de protocolo. Deber�a
morir la muerte r�pida que hace tantos a�os pide a gritos. Si quiere
usar FTP pi�nselo dos veces y dese cuenta que no, que realmente no lo
quiere.
Dicho eso...
> iptables -A FORWARD -j ACCEPT -i $ifint -o $ifext -s $ip -p tcp --dport
21
> iptables -A FORWARD -j ACCEPT -o $ifint -i $ifext -d $ip -p tcp --sport
21
El motivo por el cual FTP es una borraja de procoloco es por la forma
antisocial en la que funciona: el cliente abre una conexi�n al puerto
st�ndard, negocia con el servidor, y a la hora de transmitir datos el
_cliente_ abre un puerto _local_ donde el _servidor_ se conecta y por
decirlo as� empuja los datos que el cliente le pidi�. Ignorando los
problemas de seguridad que eso introduce, est� el detalle adicional de
tener que configurar el firewall para que deje pasar conexiones
entrantes a puertos arbitrarios. La �nica forma de evitar eso es
monitorear activamente la conexi�n de control para "ver" cual es el
puerto que el cliente le dice al servidor que use para enviar los
datos. Para ponerlo m�s claro: el kernel tiene que entender suficiente
FTP como para poder obtener esa informaci�n... para arreglar la torta
alguien sali� con la idea de "ftp pasivo" que funciona m�s o menos al
rev�s, pero que en realidad no arregla mucho.
En corto: s�, el kernel entiende suficiente FTP como para poder hacer
eso.
Como no tengo realmente ganas de probar esto hasta que funcione en
ambos sentidos, dejo simplemente la informaci�n necesaria para poder
comenzar...
En el puerto 21 se hacen las conexiones de control.
En el puerto 20 se hacen las conexiones de datos.
Con el helper "ftp" se pueden seguir las conexiones relacionadas al
ftp... algo como:
--match helper --helper ftp
Saludos,
Marcelo
--
Desuscripci�n: escriba a [EMAIL PROTECTED], tema
'unsubscribe'
Problemas a: [EMAIL PROTECTED] http://www.linux.or.cr/listas
--
Desuscripci�n: escriba a [EMAIL PROTECTED], tema 'unsubscribe'
Problemas a: [EMAIL PROTECTED] http://www.linux.or.cr/listas
