FTP acesso [RESOLVIDO]

emerson.cosmo
(usa Debian)

Enviado em 26/06/2009 - 13:47h

Pessoal,
estou com problema para acessar ftp externo, já liberei a porta 20 e 21 no iptables, mesmo assim não consigo conectar, o que preciso fazer para dar acesso a rede interna para o ftp externo(locaweb).
Grato
ATT
Emerson Cosmo Cavalcante

renato_pacheco
(usa Debian)

Enviado em 26/06/2009 - 14:20h

Depende d como vc liberou. Foi com as chains INPUT e OUTPUT ou só uma delas? Vc deve liberar as duas pra funcionar.

emerson.cosmo
(usa Debian)

Enviado em 26/06/2009 - 15:10h

cara, minha regra esta assim
$iptables -A INPUT -p tcp --dport 20 -j ACCEPT
$iptables -A INPUT -p tcp --dport 21 -j ACCEPT
$iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
$iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
$iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 20 -j ACCEPT
$iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 21 -j ACCEPT

e já subi os modulos

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

E mesmo assim não conecta no ftp nem via Browser e FTP commander

renato_pacheco
(usa Debian)

Enviado em 26/06/2009 - 15:16h

D uma olhada nessa linha:

...
$iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
$iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
...

A porta está incorreta. Deve ficar assim:

...
$iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
$iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
...

gesousa
(usa Ubuntu)

Enviado em 26/06/2009 - 15:17h

tenta adicionar...


iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

eth0 = rede externa.

emerson.cosmo
(usa Debian)

Enviado em 26/06/2009 - 15:27h

renato pacheco, gesousa.
arrumei a regra e tentei a dica do sousa, mesmo assim não rola.tenho que instalar alguma coisa para funcionar?

renato_pacheco
(usa Debian)

Enviado em 26/06/2009 - 15:29h

Tente desabilitar seu firewall, limpando as regras (iptables -F) e tente conectar-se outra vez. Se der certo, há algum impedimento com relação ao seu firewall. Dae vc posta ele completo pra gente analisar os fatos.

emerson.cosmo
(usa Debian)

Enviado em 26/06/2009 - 15:36h

Renato Pacheco,
Segue ai meu script.
Valeu pela força.

#!/bin/sh
#############
##variaveis##
#############
IPT=$(which iptables)
iptables=/sbin/iptables
externo=eth0
interno=eth1
NET="0/0"
PA=1024:65535
LO=127.0.0.1

###################
##Ativando modulo##
###################
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

##############################
##Modulo FTP PASSIVO e ATIVO##
##############################
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_tables
modprobe iptable_nat
############################
##Protecao contra spoofing##
############################
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

####################
##Limpando tabelas##
####################
$iptables -F
$iptables -X
$iptables -F -t nat
$iptables -X -t nat
$iptables -X -t mangle

##################################
##Determinando a politica padrao##
##################################
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP

######################
##LIberando LOOPBACK##
######################
$iptables -A INPUT -i lo -d $LO -j ACCEPT
$iptables -A OUTPUT -o lo -d $LO -j ACCEPT

#####################
##Regras de filtros##
#####################
#Aceitar pacotes que realmente devem entrar
#------------------------------------------
$iptables -A INPUT -i ! $externo -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A INPUT -i $externo -m state --state ESTABLISHED,RELATED -j ACCEPT #ftp
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

#Protecao contra worms
#----------------------
$iptables -A FORWARD -p tcp --dport 135 -i $interno -j REJECT

#Protecao contra syn-flood
#-------------------------
$iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

#Protecao contra port scanners
#------------------------------
$iptables -N SCANNER
$iptables -A SCANNER -j DROP
$iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $externo -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $externo -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $externo -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $externo -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $externo -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $externo -j SCANNER
$iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $externo -j SCANNER

################################################
##Liberando acesso externo a determinada porta##
################################################
$iptables -A INPUT -p tcp --dport 22 -i $externo -j ACCEPT
$iptables -A INPUT -p tcp --dport 22 -i $interno -j ACCEPT
#############
##Regra MSN##
#############
##bloqueio
$iptables -I FORWARD -s 192.168.10.0/24 -p tcp --dport 1863 -j DROP
$iptables -I FORWARD -s 192.168.10.0/24 -d loginnet.password.com -j DROP
$iptables -I FORWARD -s 192.168.10.0/24 -d hotmail.com -j DROP
$iptables -I FORWARD -s 192.168.10.0/24 -d hotmail.com.br -j DROP
##Liberando
$iptables -I FORWARD -s 192.168.10.9 -p tcp --dport 1863 -j ACCEPT
$iptables -I FORWARD -s 192.168.10.9 -d loginnet.password.com -j DROP
$iptables -I FORWARD -s 192.168.10.9 -d hotmail.com -j DROP
$iptables -I FORWARD -s 192.168.10.9 -d hotmail.com.br -j DROP
#####################
## Regra POP e SMTP##
#####################
$iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o $externo -m multiport -p tcp --dport 25,110 -j MASQUERADE
#################
##liberando FTP##
#################
$iptables -A INPUT -p tcp --dport 20 -j ACCEPT
$iptables -A INPUT -p tcp --dport 21 -j ACCEPT
$iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
$iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
$iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 20 -j ACCEPT
$iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 21 -j ACCEPT

gesousa
(usa Ubuntu)

Enviado em 26/06/2009 - 16:07h

Vamos lá...

-> Primeiro eu não achei a linha que ativa o forward no kernel.

##################
##Ativar Forward##
##################
echo 1 > /proc/sys/net/ipv4/ip_forward

############################
##Protecao contra spoofing##
############################
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter


-> Segundo, pode apagar a regra do ftp, a regra de cima cumpre o mesmo papel.

$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A INPUT -i $externo -m state --state ESTABLISHED,RELATED -j ACCEPT #ftp

-> Aqui acho que vc confudiu, sempre a regra de liberação vem em primeiro não a de bloqueo, além de que é ACCEPT em todos

#############
##Regra MSN##
#############
##Liberando
$iptables -I FORWARD -s 192.168.10.9 -p tcp --dport 1863 -j ACCEPT
$iptables -I FORWARD -s 192.168.10.9 -d loginnet.password.com -j ACCEPT
$iptables -I FORWARD -s 192.168.10.9 -d hotmail.com -j ACCEPT
$iptables -I FORWARD -s 192.168.10.9 -d hotmail.com.br -j ACCEPT
##bloqueio
$iptables -I FORWARD -s 192.168.10.0/24 -p tcp --dport 1863 -j DROP
$iptables -I FORWARD -s 192.168.10.0/24 -d loginnet.password.com -j DROP
$iptables -I FORWARD -s 192.168.10.0/24 -d hotmail.com -j DROP
$iptables -I FORWARD -s 192.168.10.0/24 -d hotmail.com.br -j DROP

-> Aqui que acho que está o erro, normalmente a regra MASQUERADE, e necessária que esteja no inicio e para toda a interface e não só para umas portas... mas se quiser pode adicionar só a porta do ftp.

$iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $externo -j MASQUERADE

emerson.cosmo
(usa Debian)

Enviado em 26/06/2009 - 16:21h

Primeiro eu não achei a linha que ativa o forward no kernel.

##################
##Ativar Forward##
##################
echo 1 > /proc/sys/net/ipv4/ip_forward

############################
##Protecao contra spoofing##
############################
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter


Então deixo apenas essa regra?
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

nessa regra eu libero apenas para uma maquina o msn e bloqueio para toda rede.

#############
##Regra MSN##
#############
##Liberando
$iptables -I FORWARD -s 192.168.10.9 -p tcp --dport 1863 -j ACCEPT
$iptables -I FORWARD -s 192.168.10.9 -d loginnet.password.com -j ACCEPT
$iptables -I FORWARD -s 192.168.10.9 -d hotmail.com -j ACCEPT
$iptables -I FORWARD -s 192.168.10.9 -d hotmail.com.br -j ACCEPT
##bloqueio
$iptables -I FORWARD -s 192.168.10.0/24 -p tcp --dport 1863 -j DROP
$iptables -I FORWARD -s 192.168.10.0/24 -d loginnet.password.com -j DROP
$iptables -I FORWARD -s 192.168.10.0/24 -d hotmail.com -j DROP
$iptables -I FORWARD -s 192.168.10.0/24 -d hotmail.com.br -j DROP

então a regra no MASQUERADE está apenas para o pop, eu tenho colocar ACCEPT no Lugar e colocar a regra que você informou no final.

$iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $externo -j MASQUERADE

emerson.cosmo
(usa Debian)

Enviado em 26/06/2009 - 16:22h

como sou novato, criei a refra FORWARD em um outro arquivo que contem também o MASQUERADE

gesousa
(usa Ubuntu)

Enviado em 26/06/2009 - 16:36h

lol, vc tem 2 arquivos com regras de firewall ??

pode ser conflitos entre eles...


sobre a liberação do msn vi que estava liberando só para um ip..

o que quis dizer é que nas regras de firewall quando há 2 regras conflitantes é a primeira que vale..

Então se bloquear a todas os ips para a porta 1683, e logo abaixo libera um ip, para o computador o que vale é a primeira... que é para bloquear todos os ips, idependente da regra de baixo, para liberar um dos ips

Assim sempre deve seguir a ordem de liberar primeiro e depois bloquear, assim ele vai deixar aquele ip liberado e travar todos os outros...