Configuração do Firewall para conectar FTP

renanalem
(usa Debian)

Enviado em 12/01/2009 - 17:13h

Ola a todos....

Estou com e seguinte problema. Estou configurando um servidor de ftp aqui na empresa, só que em Win Server 2003, e preciso conectar em outros servidores ftp de outras empresa. O que acontece é o seguinte se eu colocar meu servido ftp pra rodar na porta 21, eu consigo conectar no meu servidor, porem não consigo conectar no outros servidores, agora se eu mudar a porta do meu servidor por exemplo para 31, eu consigo logar no servidor mais não posso ver os arquivos, e consigo conectar blz nos servidores das outras empresa.

Não estou conseguindo configurar o firewall para permitir que eu acesse aos dados do servidor ftp da minha rede, o que devo fazer?

richardandrade
(usa Debian)

Enviado em 12/01/2009 - 17:53h

cara quando tem servidor FTP atrás de firewall, você precisa habilitar modo passivo no seu servidor FTP e levantar o módulo ip_nat_ftp no seu firewall e regras no iptables:

modprobe ip_nat_ftp

iptables -A FORWARD -s ip_da_rede -m state --state RELATED,STABLISHED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination IP:porta
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT


valeu e abraço

renanalem
(usa Debian)

Enviado em 13/01/2009 - 08:58h

Então, seu eu colocar no firewall a porta 21 o meu servidor ftp funciona blz, só que ai eu não consigo acessar aos outros servidores ftp de outras empresas. Tentei mudar a porta do meu servidor para 31, e no firewall ao inves de colocar a porta 21 coloquei a porta 31, ele até conecta, pede a senha tudo direitim, só que não mostra os arquivos...

E o mais engraço que quando eu acesso dentra da minha rede ftp://192.168.0.x:31 , funciona direitim, mais quando cou conectar fora da minha rede não consigo ver os dados. O que será que pode ser?

richardandrade
(usa Debian)

Enviado em 13/01/2009 - 09:01h

pq seu servidor fdp está trabalhando atras de um firewall você precisa utilizar o módulo ip_nat_ftp

modprobe ip_nat_ftp

colocar o seu servidor pra trabalhar em modo passivo


e colocar as regras que eu coloquei acima

valeu e abraço.

renanalem
(usa Debian)

Enviado em 13/01/2009 - 09:24h

Esse modulo eu ja havia carregado. Agora eu só não coloquei o meu servidor ftp que é windows server 2003 no modo passivo, pq não sei como fazer.
Mais eu preciso liberar quais porta no modo passivo? Lembrando que eu não uso cliente ftp nas maquinas, eu uso direto via comando ftp://201.x.x.x:31 .... será que naõ tem haver com a porta de dados do ftp não?

richardandrade
(usa Debian)

Enviado em 13/01/2009 - 09:41h

porta passiva é porta alta vai de 49152 65534 , no windows 2003 kara eu n sei como faz.

valeu e abraço

obs: tenta usar algum cliente ftp pra visualizar os arquivos.

renanalem
(usa Debian)

Enviado em 13/01/2009 - 09:59h

Mais como que eu faço para liberar no firewall essas portas?

richardandrade
(usa Debian)

Enviado em 13/01/2009 - 10:32h

não precisa vc precisa liberar a porta o qual o cliente vai inicialmente se conectar que no seu caso é a porta 31

renanalem
(usa Debian)

Enviado em 13/01/2009 - 10:51h

Meu pedaço do firewall sobre o ftp

iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 31 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 20 -j DNAT --to 192.168.0.2:20
iptables -t nat -A PREROUTING -p tcp --dport 31 -j DNAT --to 192.168.0.2:31

Dessa maneira eu consigo logar no meu servidor FTP, porem não vejo os arquivo. E consigo tb conectar aos servidores FTP das outras empresa. Engraçado que seu eu fizer por exemplo dentro da minha rede interna ftp://192.168.0.2/31 funciona direitim, só não funciona quando eu quero conectar fora da minha rede interna. Acho que deve ta faltando so algum detalhe.... :(:(:(:(:(:(

richardandrade
(usa Debian)

Enviado em 13/01/2009 - 11:21h

nas regras de FORWARD não bota origem

iptables -A FORWARD -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp --dport 31 -j ACCEPT

e tenta ae

não esquece de

modprobe ip_nat_ftp

renanalem
(usa Debian)

Enviado em 16/01/2009 - 12:47h

Deu certo não... fiz como vc disse mais não adianta... Deu erro de falando que o tempo limite foi esgotado, eu consigo logar mais não acessar os arquivos...