Problema con FTP Pasivo
Hola colegas, saludo a todos. Quisiera saber si alguno de ustedes se ha enfrentado alguna vez con el problema de hacer pasar por un NAT con iptables una conexión pasiva FTP. Tengo mi firewall haciendo Forward entre mi red LAN e Internet. El problema del FTP pasivo es que éste solicita un puerto dinámico TCP en el rango 1024:65535 determinado por el servidor FTP, pero si abro ese rango, significa que permito el acceso a cualquier aplicación. He intentado configurar reglas para permitir el acceso a ese rango de puerto solo si existe una conexión establecida, pero sin éxito. Esto es algo de lo que he probado realizar: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT Las dos primeras reglas funcionan bien, el problema es la tercera regla. Como sigue no me sirve, ya que permito el acceso a esos puertos a cualquier aplicación: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j ACCEPT Sé que una solución sería hacer Forward a la IP específica del servidor FTP al que trato de acceder, pero quiero agotar los medios para saber si es posible filtrar de manera genérica. Saludos. -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834 4088
Re: Problema con FTP Pasivo
On Wed, 15 Feb 2012 12:52:47 -0300, Javier Garay javierzga...@gmail.com wrote: Hola colegas, saludo a todos. Quisiera saber si alguno de ustedes se ha enfrentado alguna vez con el problema de hacer pasar por un NAT con iptables una conexión pasiva FTP. Tengo mi firewall haciendo Forward entre mi red LAN e Internet. El problema del FTP pasivo es que éste solicita un puerto dinámico TCP en el rango 1024:65535 determinado por el servidor FTP, pero si abro ese rango, significa que permito el acceso a cualquier aplicación. He intentado configurar reglas para permitir el acceso a ese rango de puerto solo si existe una conexión establecida, pero sin éxito. Esto es algo de lo que he probado realizar: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT Las dos primeras reglas funcionan bien, el problema es la tercera regla. Como sigue no me sirve, ya que permito el acceso a esos puertos a cualquier aplicación: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j ACCEPT Sé que una solución sería hacer Forward a la IP específica del servidor FTP al que trato de acceder, pero quiero agotar los medios para saber si es posible filtrar de manera genérica. Saludos. -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834 4088 Haz intentado cargando los módulos para ello ? Creo que es : modprobe ip_conntrack_ftp modprobe ip_nat_ftp Saludos.
Re: Problema con FTP Pasivo
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 15/02/12 12:59, Hector Gatica wrote: On Wed, 15 Feb 2012 12:52:47 -0300, Javier Garay javierzga...@gmail.com wrote: Hola colegas, saludo a todos. Quisiera saber si alguno de ustedes se ha enfrentado alguna vez con el problema de hacer pasar por un NAT con iptables una conexión pasiva FTP. Tengo mi firewall haciendo Forward entre mi red LAN e Internet. El problema del FTP pasivo es que éste solicita un puerto dinámico TCP en el rango 1024:65535 determinado por el servidor FTP, pero si abro ese rango, significa que permito el acceso a cualquier aplicación. He intentado configurar reglas para permitir el acceso a ese rango de puerto solo si existe una conexión establecida, pero sin éxito. Esto es algo de lo que he probado realizar: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT Las dos primeras reglas funcionan bien, el problema es la tercera regla. Como sigue no me sirve, ya que permito el acceso a esos puertos a cualquier aplicación: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j ACCEPT Sé que una solución sería hacer Forward a la IP específica del servidor FTP al que trato de acceder, pero quiero agotar los medios para saber si es posible filtrar de manera genérica. Saludos. -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834 4088 Haz intentado cargando los módulos para ello ? Creo que es : modprobe ip_conntrack_ftp modprobe ip_nat_ftp Saludos. Lo es/son: -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJPO9rAAAoJEPrcLH/1RnsgI94IAMTY1B/X9BCXR51RetLb8A5L BKUaaBXsfM5tijMEXpJ8dS3QVyU6R19wG+7SYlrPvUxT2MMDah9zX+M0MWM7QpfS yKTf5CLWwPmgxRRNdSI7/lAaGPfpjKeRMrBCn7bSp7Bgc6BQ8wmlnG3oTC5O9yn3 sqSbXBQblrCYC0q/NMPUWuKKDHXuEBttfNQVeqIs8ZxZBFmHKpceWGbt/kVhAkfn j5sKEcwE80lkbWMllvlgibP9D7EtRt0M7mEGoVLTc8IfYd16NPoqhY6K3uTckorx zQI6R16sw4EBiKZgxPCxECSOx1Q/3zR0jpZ6FZgLGUDN2rlPXkSaFwKF1LXuyTA= =Rd2x -END PGP SIGNATURE-
Re: Problema con FTP Pasivo
Muchas gracias, era ese mi problema. Saludos. El 15 de febrero de 2012 13:18, Larry Letelier barbud...@gmail.comescribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 15/02/12 12:59, Hector Gatica wrote: On Wed, 15 Feb 2012 12:52:47 -0300, Javier Garay javierzga...@gmail.com wrote: Hola colegas, saludo a todos. Quisiera saber si alguno de ustedes se ha enfrentado alguna vez con el problema de hacer pasar por un NAT con iptables una conexión pasiva FTP. Tengo mi firewall haciendo Forward entre mi red LAN e Internet. El problema del FTP pasivo es que éste solicita un puerto dinámico TCP en el rango 1024:65535 determinado por el servidor FTP, pero si abro ese rango, significa que permito el acceso a cualquier aplicación. He intentado configurar reglas para permitir el acceso a ese rango de puerto solo si existe una conexión establecida, pero sin éxito. Esto es algo de lo que he probado realizar: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT Las dos primeras reglas funcionan bien, el problema es la tercera regla. Como sigue no me sirve, ya que permito el acceso a esos puertos a cualquier aplicación: -A FORWARD -i eth1 -s 192.168.20.0/26 -p tcp --dport 1024: -j ACCEPT Sé que una solución sería hacer Forward a la IP específica del servidor FTP al que trato de acceder, pero quiero agotar los medios para saber si es posible filtrar de manera genérica. Saludos. -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834 4088 Haz intentado cargando los módulos para ello ? Creo que es : modprobe ip_conntrack_ftp modprobe ip_nat_ftp Saludos. Lo es/son: -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJPO9rAAAoJEPrcLH/1RnsgI94IAMTY1B/X9BCXR51RetLb8A5L BKUaaBXsfM5tijMEXpJ8dS3QVyU6R19wG+7SYlrPvUxT2MMDah9zX+M0MWM7QpfS yKTf5CLWwPmgxRRNdSI7/lAaGPfpjKeRMrBCn7bSp7Bgc6BQ8wmlnG3oTC5O9yn3 sqSbXBQblrCYC0q/NMPUWuKKDHXuEBttfNQVeqIs8ZxZBFmHKpceWGbt/kVhAkfn j5sKEcwE80lkbWMllvlgibP9D7EtRt0M7mEGoVLTc8IfYd16NPoqhY6K3uTckorx zQI6R16sw4EBiKZgxPCxECSOx1Q/3zR0jpZ6FZgLGUDN2rlPXkSaFwKF1LXuyTA= =Rd2x -END PGP SIGNATURE- -- Atte, Javier Garay G. Ingeniero en Informática. Cel. 6834 4088
[OT] trabajo en programacion (bajo nivel)
Podría haber sido más específico y aprovechar el OT! On 02/15/2012 12:00 PM, linux-requ...@listas.inf.utfsm.cl wrote: Hay una oferta laboral para quienes se interesen en trabajar en C y Assembler en una maquina virtual (VM), si alguien se interesa, por favor envieme un correo.