El tema del ftp es un poco espinoso al menos con política DROP Prueba con este script
#!/bin/bash # Firewall Bastion Clever Flores # [email protected] # 2014 echo "limpiando todas las reglas" #si tu distro es centos 6 service stop iptables # si tu distro es centos 7 instala iptables-services # yum -y install iptables-services # systemctl stop firewalld # systemctl disable firewalld # systemctl enable iptables # systemctl stop iptables echo "cargando módulos para ftp" modprobe ip_nat_ftp modprobe ip_conntrack_ftp echo "Estableciendo la politica por defecto a DROP" iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP echo "configurando INPUT y OUTPUT" echo "dando acceso total al loopback" # todo lo que entra y sale desde el loopback se acepta iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT ################ Nuestro host como SERVIDOR ######################################################3 echo "permitiendo acceso al servidor SSH (protocolo tcp, puerto 22) desde cualquier origen " iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT echo "permitiendo acceso al servidor FTP puerto 20 y 21" iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 20 -m conntrack --ctstate ESTABLISHED -j ACCEPT echo "permitiendo conexiones pasivas de ftp" iptables -A INPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --sport 1024: --dport 1024: -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT ############### Nuestro host como cliente ##################################################### echo "habilitando navegacion a internet desde nuestro host hacia los puertos SSH,FTP,HTTP y HTTPS" iptables -A OUTPUT -p tcp -m multiport --dports 20,21,22,25,80,443,8080,143,993,465 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp -m multiport --sports 20,21,22,25,80,443,8080,143,993,465 -m state --state ESTABLISHED,RELATED -j ACCEPT echo "habilitando las consultas DNS desde nuestro host" iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT ############### Reglas de Ping ######################################################################### echo "permitiendo el ping a nuestro host" iptables -A INPUT -p icmp --icmp-type echo-request -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j ACCEPT echo "haciendo ping desde nuestro host a la cualquier destino" iptables -A OUTPUT -p icmp --icmp-type echo-request -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j ACCEPT echo "guardando las reglas" service iptables save # si tu distro es centos 7 #/usr/libexec/iptables/iptables.init save El 9 de enero de 2015, 18:36, Kennet Christopher Salinas Rodriguez < [email protected]> escribió: > Muchachos: > > Buenas tardes, tengo un equipo con centos (ip 192.168.1.5), el cual le > generé reglas de acceso para subir via ftp (puerto 21) solo para 4 ips > especificos, y que el resto de la red pueda visualizarlos a traves WEB > (puerto 80), el detalle es que tengo otra ip que debe subir archivos FTP a > traves de VPN en otro rango (IP 10.10.10.6), a pesar de darle acceso a esa > IP no logra conectar a traves de FTP, pero si desactivo el firewall si > puedo acceder, la regla creada es la siguiente: > -A INPUT -s 10.10.10.6/32 - j ACCEPT > > ¿Favor pueden indicar que falta agregar? > > Gracias. > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe > -- Clever Flores Arquitecto de Sistemas, Infraestructura y Seguridad http://cleverflores.blogspot.com RPM #971149678
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
