(linux-br)ipchains + ftp

Wed, 08 Oct 2003 15:54:30 -0700 

Sres,
instalei um CL6 com o wu-ftp na rede interna, tudo ok. Quando tento acessar
de fora, pelo
ADSL, consigo me logar, mas os comandos (ls, get...) retornam:

230 User jose logged in.
ftp> ls
500 Illegal PORT Command
425 Can't build data connection: Conex�o recusada.
ftp> cd /tmp
250 CWD command successful.
ftp> get teste.txt
425 Can't build data connection: Conex�o recusada.
ftp> ls
425 Can't build data connection: Conex�o recusada.

o firewall faz NAT usando o ipchains (o script esta logo abaixo) e est�
carregando o modulo
ip_masq_ftp. Utilizo tb no firewall o rinetd para redirecionar os pedidos de
conexao das
portas 20 e 21 como segue:  (200.200.200.200 eh o ip do cliente que esta
tentando se conectar)

allow 200.200.200.200
192.168.0.2 20 192.0.0.1 20
192.168.0.2 21 192.0.0.1 21
logfile /var/log/rinetd.log

No modem tb � feito NAT para poder transitar na internet.
J� testei com telnet, ssh e funciona blz, s� o ftp que continua com isto. J�
vi dezenas de
msgs na net dizendo que eh so carregar o ip_masq_ftp, mas ele esta carregado
(olhei pelo lsmod).

Algu�m pode me ajudar a entender pq o ftp continua dando este erro ?
Obrigado,
jct

Os ips aqui mencionados sao apenas para efeito de ilustracao.

ftp server--------------firewall-----------------------modem ADSL
192.0.0.1         192.0.0.2  192.168.0.2       12.168.0.1
200.0.0.1

Script do firewall:

#! /bin/sh
#
echo "Iniciando o firewall e servicos de roteamento"
#inclue algumas bibliotecas
. /etc/rc.d/init.d/functions
#inclue a configuracao da rede
. /etc/sysconfig/network
#verifica se a rede esta ok
if [ ${NETWORKING} = "no" ]
then
 exit 0
fi
#verifica se o ipchains esta instalado
if [ ! -x /sbin/ipchains ]; then
 exit 0
fi
#iniciando o ipchains - algumas configuracoes
EXTERNAL_INTERFACE="eth0"  #placa da rede externa - MODEM ADSL
LOCAL_INTERFACE="eth1"   #placa da rede interna
LOOPBACK_INTERFACE="lo"   #interface de loopback
LOCALNET_1="192.0.0.0/24"  #IP da rede interna
LOCALNET_2="192.168.0.0/24"  #IP da rede do modem
ANYWHERE="any/0"   #todo mundo
LOOPBACK="127.0.0.0/8"   #IP reservado do loopback
CLASS_A="10.0.0.0/8"   #Redes privadas - classe A
CLASS_B="172.16.0.0/12"   #Redes privadas - classe B
CLASS_C="192.168.0.0/16"  #Redes privadas - classe C
CLASS_D_MULTICAST="224.0.0.0/4"  #enderecos multicast - classe D
CLASS_E_RESERVED_NET="240.0.0.0/5" #enderecos reservados - classe E
BROADCAST_SRC="0.0.0.0"   #broadcast de origem
BROADCAST_DEST="255.255.255.255" #broadcast de destino
PRIVPORTS="0:1023"   #Portas privadas no linux
UNPRIVPORTS="1024:65535"  #Portas publicas no linux
#
 #Inicio das regras do ipchains
 #Remove todas as regras existentes
 ipchains -F
 ipchains -X
#
 #Bloqueia o roteamento de pacotes
 ipchains -P input DENY
 ipchains -P output DENY
 ipchains -P forward DENY
#
 #seta o timeout do masq para conexoes TCP para 10 horas
 ipchains -M -S 36000 0 0
#
 #Nao retransmite fragmentos. monta antes de reenviar
 ipchains -A output -f -i $LOCAL_INTERFACE -j DENY
#
 #Habilita o reenvio de pacotes
 echo 1 > /proc/sys/net/ipv4/ip_forward
#
 #Habilita protecao contra cookie TCP SYN
 echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#
 #Habilita verificacao do endereco de origem
 for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
  echo 1 > $f
 done
#
 #Desabilita redirecionamento de ICMP
 for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do
  echo 0 > $f
 done
#
 #Desabilita pacotes roteados na origem
 for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
  echo 0 > $f
 done
#
 #Estes modulos sao necessarios para mascarar estes servicos

 /sbin/depmod -a
 /sbin/modprobe  ip_masq_ftp

 ipchains -P output ACCEPT
 ipchains -A forward -i $EXTERNAL_INTERFACE -s 192.0.0.0/24 -j MASQ

###############################
######   LIBERA A NAVEGACAO
###############################
 ipchains -A input -i $LOCAL_INTERFACE -s 192.0.0.0/24 -j ACCEPT
 ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -s $ANYWHERE $PRIVPORTS -j
ACCEPT
 ipchains -A input -i $EXTERNAL_INTERFACE -p udp -s $ANYWHERE $PRIVPORTS -j
ACCEPT

### CLIENTE EXTERNO

 ipchains -A input -i $EXTERNAL_INTERFACE -s 200.200.200.200 -b -j ACCEPT

        ############################
        #O que nao estiver nas regras acima, he negado aqui !
        ############################

        ipchains -A input -i $EXTERNAL_INTERFACE -p tcp -j DENY -l
        ipchains -A input -i $EXTERNAL_INTERFACE -p udp --destination-port
$PRIVPORTS -j DENY -l
        ipchains -A input -i $EXTERNAL_INTERFACE -p udp --destination-port
$UNPRIVPORTS -j DENY -l
        ipchains -A input -i $EXTERNAL_INTERFACE -p icmp --icmp-type 5 -j
DENY -l
        ipchains -A input -i $EXTERNAL_INTERFACE -p icmp --icmp-type
13:255 -j DENY -l

echo "finalizando o script de firewall"
exit 0
Desculpem o tamanho do e-mail, tentei enxugar ao m�ximo...

---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Responder a