Re: RES: (linux-br) Cadeia de FORWARD para acesso externo FTP em umFirewall com Masquerade

Tue, 11 Jan 2005 11:35:05 -0800 

Marco Aur�lio,

Voc� fez alguma configura��o adicional no seu servidor FTP? Segue
abaixo os m�dulos que estou carregando no firewall e a regra que estou
utilizando:

# Ativando m�dulo do iptables
   
   modprobe ipt_MASQUERADE
   modprobe ipt_LOG
   modprobe iptable_nat 
   modprobe ip_tables
   modprobe ip_conntrack
   modprobe ip_conntrack_ftp
   modprobe ip_nat_ftp
   

# Habilitanto o encaminhamento de pacotes entre eth0 e eth1

     echo "1" > /proc/sys/net/ipv4/ip_forward

(...)

# Mascaramento da Rede de Opera��o

              iptables -t nat -A POSTROUTING -o eth0 -s $REDE_OPERACAO
-d 0.0.0.0/0 -j MASQUERADE

(...)

# Permite o acesso https
             
              iptables -t nat -A PREROUTING  -p tcp -s $REDE_INTERNET
-d 200.XXX.XXX.XXX--dport 443 -j DNAT --to-destination 192.168.2.253
              iptables -t nat -A POSTROUTING -p tcp -s 192.168.2.253 
-d $REDE_INTERNET --sport 443 -j SNAT --to 200.155.22.165
              iptables -A FORWARD -p tcp -s $REDE_INTERNET -d
192.168.2.253/24  --dport 443 -j ACCEPT
              iptables -A FORWARD -p tcp -s 192.168.2.253/24  -d
$REDE_INTERNET --sport 443 -j ACCEPT
              
        # Permite o acesso http
         
              iptables -t nat -A PREROUTING  -p tcp -s $REDE_INTERNET
-d 200.XXX.XXX.XXX--dport 80 -j DNAT --to-destination 192.168.2.253
              iptables -t nat -A POSTROUTING -p tcp -s 192.168.2.253 
-d $REDE_INTERNET --sport 80 -j SNAT --to 200.XXX.XXX.XXX
              iptables -A FORWARD -p tcp -s $REDE_INTERNET -d
192.168.2.253/24  --dport 80 -j ACCEPT
              iptables -A FORWARD -p tcp -s 192.168.2.253/24  -d
$REDE_INTERNET --sport 80 -j ACCEPT
              
        # Permite o acesso ftp

              iptables -t nat -A PREROUTING  -p tcp -s $REDE_INTERNET
-d 200.XXX.XXX.XXX --dport 20:21 -j DNAT --to-destination
192.168.2.253
              iptables -t nat -A POSTROUTING -p tcp -s 192.168.2.253 
-d $REDE_INTERNET --sport 20:21 -j SNAT --to 200.XXX.XXX.XXX
              iptables -A FORWARD -p tcp -s $REDE_INTERNET -d
192.168.2.253/24  --dport 20:21 -j ACCEPT
              iptables -A FORWARD -p tcp -s 192.168.2.253/24  -d
$REDE_INTERNET --sport 20:21 -j ACCEPT

Agrade�o pela ajuda.

Rog�rio

> Porque n�o ? Tenho servidores FTP atraz de NAT e funcionam normalmente.
> E soh carregar os modulo ip_conntrack_ftp, pelo menos pra mim funcionou.
> Se n�o funcionar no cliente ativa, ou desativan n�o lembro... o modo passivo
> (Passive mode ou PASV).
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Responder a