-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 15/02/12 12:59, Hector Gatica wrote: > On Wed, 15 Feb 2012 12:52:47 -0300, Javier Garay > <[email protected]> wrote: >> Hola colegas, saludo a todos. >> >> Quisiera saber si alguno de ustedes se ha enfrentado alguna vez >> con el problema de hacer pasar por un NAT con iptables una >> conexión pasiva FTP. >> >> Tengo mi firewall haciendo Forward entre mi red LAN e Internet. >> El problema del FTP pasivo es que éste solicita un puerto >> dinámico TCP en el rango 1024:65535 determinado por el servidor >> FTP, pero si abro ese rango, significa que permito el acceso a >> cualquier aplicación. He intentado configurar reglas para >> permitir el acceso a ese rango de puerto solo si existe una >> conexión establecida, pero sin éxito. >> >> Esto es algo de lo que he probado realizar: >> >> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state >> --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s >> 192.168.20.0/26 -p tcp --dport 20 -m state --state ESTABLISHED -j >> ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: >> -m state --state ESTABLISHED,RELATED -j ACCEPT >> >> Las dos primeras reglas funcionan bien, el problema es la tercera >> regla. Como sigue no me sirve, ya que permito el acceso a esos >> puertos a cualquier aplicación: >> >> -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j >> ACCEPT >> >> Sé que una solución sería hacer Forward a la IP específica del >> servidor FTP al que trato de acceder, pero quiero agotar los >> medios para saber si es posible filtrar de manera genérica. >> >> Saludos. >> >> -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834 >> 4088 > > Haz intentado cargando los módulos para ello ? > > Creo que es : > > modprobe ip_conntrack_ftp modprobe ip_nat_ftp > > Saludos.
Lo es/son: -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJPO9rAAAoJEPrcLH/1RnsgI94IAMTY1B/X9BCXR51RetLb8A5L BKUaaBXsfM5tijMEXpJ8dS3QVyU6R19wG+7SYlrPvUxT2MMDah9zX+M0MWM7QpfS yKTf5CLWwPmgxRRNdSI7/lAaGPfpjKeRMrBCn7bSp7Bgc6BQ8wmlnG3oTC5O9yn3 sqSbXBQblrCYC0q/NMPUWuKKDHXuEBttfNQVeqIs8ZxZBFmHKpceWGbt/kVhAkfn j5sKEcwE80lkbWMllvlgibP9D7EtRt0M7mEGoVLTc8IfYd16NPoqhY6K3uTckorx zQI6R16sw4EBiKZgxPCxECSOx1Q/3zR0jpZ6FZgLGUDN2rlPXkSaFwKF1LXuyTA= =Rd2x -----END PGP SIGNATURE-----
