O mais importante tu não disse... Tu tem um servidor FTP configurado nessa maquina 10.1.1.167 ? Ou tu quer acesar um servidor externo (ftp.terra.com.br) dessa maquina?
Bom, liberar a maquina acessar ftp externo: # FTP ATIVO # iptables -I FORWARD -p tcp -s 10.1.1.167 --dport 20:21 -j ACCEPT # iptables -I FORWARD -p tcp -d 10.1.1.167 --sport 20:21 -j ACCEPT # FTP PASSIVO # Tem q especificar o destino aqui, se não vai ta liberando a maquina pra praticamente a internet inteira # inclusive proxies externos e tudo mais. # iptables -I FORWARD -p tcp -s 10.1.1.167 -d ftp.terra.com.br -m multiport --dports 21,1025-60000 -j ACCEPT # iptables -I FORWARD -p tcp -d 10.1.1.167 -s ftp.terra.com.br -m multiport --sports 21,1025-60000 -j ACCEPT Agora se o teu caso é redirecionar o trafego ENTRANTE do firewall pro TEU servidor FTP no ip 10.1.1.167 # modprobe ip_nat_ftp # iptables -t nat -I PREROUTING -p tcp --dport 20:21 -j DNAT --to 10.1.1.167 # iptables -I FORWARD -p tcp -s 10.1.1.167 --dport 20:21 -j ACCEPT # iptables -I FORWARD -p tcp -d 10.1.1.167 --sport 20:21 -j ACCEPT Escrevi as regras direto no e-mail, mas devem funcionar... Use o telnet ou opcoes de debug de um client FTP pra testar, elas devem mostrar os IP's utilizados e ai tu pode ver se ta correto. -- Flávio do Carmo Junior aka waKKu 2009/3/13 Leandro Vicente <[email protected]>: > Seguinte, vou passar maiores informações pra ver se alguem me ajuda com uma > luz.. > > Estou tendo que transmitir informações de uma maquina da rede ( 10.1.1.167) > pela porta 21 . So que > essa maquina está atras de um firewall (10.1.1.10) Slackware 12.0. Essa > maquina do firewall tem 2 placas de rede > eth0 = Rede interna e eth1 Internet. > A regra de masquerade ta ok, todo mundo navega de boa, mas não sei como > redirecionar o serviço de ftp pra maquina > em questão. Lembrando que essa maquina tbm tem que enviar informações por > ftp pra internet. > > Estou lendo o Foca linux , tenho um palpite que pode ser alguma coisa com > POSTROUTING ou algo assim. > > Obrigado a todos novamente! > > Atenciosamente, > > Leandro Vicente > > 2009/3/12 Flavio Junior <[email protected]> >> >> # modinfo ip_nat_ftp >> filename: >> /lib/modules/2.6.17-5mdv/kernel/net/ipv4/netfilter/ip_nat_ftp.ko.gz >> license: GPL >> author: Rusty Russell <[email protected]> >> description: ftp NAT helper >> vermagic: 2.6.17-5mdv SMP mod_unload 686 gcc-4.1 >> depends: ip_nat,ip_conntrack,ip_conntrack_ftp >> >> >> PS: FTP Ativo usa portas 20 (ftp-data) e 21 (ftp) >> o FTP Passivo usa 21 e uma porta randomica entre 1024 e 60000 (ftp-data). >> >> O "ip_nat_ftp" te ajuda a fornecer o IP correto para a comunicação (se >> não ele envia o IP da LAN ex: 192.168.0.X). >> Agora tu tem q definir se vai usar ativo ou passivo e fazer as >> liberações de acordo. >> >> -- >> >> Flávio do Carmo Júnior aka waKKu >> >> 2009/3/11 ..:: Andi ::.. <[email protected]>: >> > >> > -----BEGIN PGP SIGNED MESSAGE----- >> > Hash: SHA1 >> > >> > Leandro Vicente wrote: >> >> Ola para todos, >> >> >> >> Estou com um impasse no meu firewall. Preciso fazer com que um >> >> determinado >> >> site tenha acesso a porta 21 (ftp) de uma >> >> determinada máquina na rede. Ápos aplicar a regra: >> >> >> >> iptables -t nat -A PREROUTING -i $IF_EXTERNA -p tcp --dport 21 -j DNAT >> >> --to-destination 10.1.1.167 >> >> >> >> onde IF_EXTERNA é eth1 (placa de rede que conexao da internet) >> >> >> >> A conexão estabiliza, mas o servidor externo nao consegue gravar nada. >> >> Ainda >> >> nao sei onde esta sendo reportado de verdade os erros do iptables, a >> >> única >> >> coisa que achei foi no arquivo /var/log/syslog onde esta gravada a msg >> >> >> >> Netfilter messages.... >> >> error: Bind to port 22 on 0.0.0.0 failed: Address already in use. >> >> >> >> Ativei o roteamento, e tambem o MASQUERAD nas placas. Internet está ok, >> >> e >> >> demais serviços (outlook, ssh , etc) estão funcionando corretamente. >> >> >> >> Alguem poderia me explicar o que ocorre? ou , tem como eu passar o site >> >> por >> >> fora do firewall (somente a porta 21) para essa máquina? >> >> >> >> Desde ja agradeço a ajuda!! >> >> >> >> Atenciosamente, >> >> >> >> Leandro Vicente >> >> >> >> > >> >> >> > >> > # iptables -t filter -I FORWARD -s $IPDOSITE -d 10.1.1.167 -p tcp >> > - --dport 21 -j ACCEPT >> > # iptables -t filter -I FORWARD -s $IPDOSITE -d 10.1.1.167 -p udp >> > - --dport 21 -j ACCEPT >> > # iptables -t filter -I FORWARD -s 10.1.1.167 -d $IPDOSITE -p tcp >> > - --dport 21 -j ACCEPT >> > # iptables -t filter -I FORWARD -s 10.1.1.167 -d $IPDOSITE -p udp >> > - --dport 21 -j ACCEPT >> > >> > Acho que essas 4 regras vai resolver o teu problema... >> > >> > Falou... >> > -----BEGIN PGP SIGNATURE----- >> > Version: GnuPG v2.0.9 (GNU/Linux) >> > Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org >> > >> > iEYEARECAAYFAkm4crkACgkQZZMzRLhSpTRZRQCgovxybLsktMJiv5QzGz7fTWty >> > j1YAn16xSrSNg8RatzqvPPSJj7n3iTS4 >> > =ny77 >> > -----END PGP SIGNATURE----- >> > >> > > >> > >> >> > > > > > --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Conheça o Novo Forum do GUS-BR na Under-Linux.Org em: http://under-linux.org/forums/slackware/ -~----------~----~----~----~------~----~------~--~---
