firewall bloqueando ftp/FORWARD [RESOLVIDO]

jlaudirt
(usa Slackware)

Enviado em 16/07/2009 - 10:59h

Boas! Não estou conseguindo fazer minha rede acessar ftp fora dela.
Todas as requisições de ftp caem no meu firewall.

Segue abaixo meu script de firewall:

--------------------------------- FIREWALL------------------------------------------------------
#!/bin/sh -x
iptables -t nat -F
iptables -t nat -X
iptables -t filter -F
iptables -t filter -X
iptables -F
iptables -X
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.0/24 -j LOG
#----------
# Regras para funcionamento do Conectividade Social da CEF
#----------
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80
iptables -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80
iptables -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80
iptables -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80
iptables -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80
iptables -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
iptables -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80
iptables -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp -m multiport --dport domain,http,https -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
#iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --sport 22 -s 192.168.0.0/24 --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -I FORWARD -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
iptables -I FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 110 -j REDIRECT --to 110
#iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.5:21
#iptables -t nat -A PREROUTING -p udp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.5:21
#iptables -t nat -A PREROUTING -p tcp -d 201.24.152.2 -o eth0 --sport 21 -j REDIRECT --to 21
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --sport 22 --dport 22 -j DNAT --to 64.233.161.99:22
#echo "Impedindo o recebimento de arquivos via msn!"
echo "Cliente: CAIXA"
iptables -t nat -A PREROUTING -p tcp --sport 6891 -d 192.168.0.23 -j DROP
echo "Cliente: COMPRAS"
iptables -t nat -A PREROUTING -p tcp --sport 6891 -d 192.168.0.25 -j DROP
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.2 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.2 --dport 22 -j DNAT --to 192.168.0.1:22
iptables -t nat -A PREROUTING -p tcp -d 192.168.1.2 --dport 22 -j DNAT --to 192.168.0.1:22
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
---------------------------------FIREWALL-------------------------------------------------------

renato_pacheco
(usa Debian)

Enviado em 16/07/2009 - 12:29h

Hum... será q é pq vc não liberou a porta 20, q tb pertence ao ftp? É apenas uma sugestão.

jlaudirt
(usa Slackware)

Enviado em 16/07/2009 - 14:21h

adicionei a porta 20 nas regras de FORWARD mas mesmo assim nao consigo conectar no ftp fora da rede

JoseHenriqueRJ
(usa Red Hat)

Enviado em 16/07/2009 - 15:07h

Coloque as duas regras com a porta 20 e 21 com sendo as primeiras regras do FW, coloque a porta 20 primeiro, que é a de conexão!

Abçs

Diede
(usa Debian)

Enviado em 16/07/2009 - 15:08h

Quais módulos conntrack seu sistema está carregando?

Adicione as extensões FTP, e tente novamente:
modprobe nf_nat_ftp
modprobe nf_conntrack
modprobe nf_conntrack_ftp

jlaudirt
(usa Slackware)

Enviado em 16/07/2009 - 15:11h

coloquei tanto a 20 qto a 21 nas regras e nao consigo mesmo assim.

os modulos estao todos ok:

lsmod | grep ftp
nf_nat_ftp 6656 0
nf_nat 19500 4 ipt_MASQUERADE,ipt_REDIRECT,iptable_nat,nf_nat_ftp
nf_conntrack_ftp 10912 1 nf_nat_ftp
nf_conntrack 53440 7 ipt_MASQUERADE,xt_state,iptable_nat,nf_nat_ftp,nf_nat,nf_conntrack_ftp,nf_conntrack_ipv4

andrezc
(usa Debian)

Enviado em 16/07/2009 - 17:54h

Que tal esvasiarmos todas as chains e depois crialas de novo , use o comando iptables -f pra zerar as chains

pedroadf
(usa Red Hat)

Enviado em 16/07/2009 - 18:08h

ja tive problemas parecido....solucao

modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

carrege esses modulos no seu script do firewall logo no começo dele e poste aqui se teve resultado

Diede
(usa Debian)

Enviado em 17/07/2009 - 09:24h

Boa idéia a do junior linux:
Pode ser que já tenha alguma regra "por padrão" aí no seu iptables.
Depois de aplicar suas regras, poste para a gente a saída do seu "iptables-save", que mostrará todas as regras em uso...

jlaudirt
(usa Slackware)

Enviado em 17/07/2009 - 16:58h

iptables-save>>>>

# Generated by iptables-save v1.4.0 on Fri Jul 17 16:03:33 2009
*mangle
:PREROUTING ACCEPT [16869:11876529]
:INPUT ACCEPT [14214:9742576]
:FORWARD ACCEPT [2655:2133953]
:OUTPUT ACCEPT [17199:10099079]
:POSTROUTING ACCEPT [19855:12233110]
COMMIT
# Completed on Fri Jul 17 16:03:33 2009
# Generated by iptables-save v1.4.0 on Fri Jul 17 16:03:33 2009
*nat
:PREROUTING ACCEPT [290:15814]
:POSTROUTING ACCEPT [5:378]
:OUTPUT ACCEPT [385:23178]
-A PREROUTING -d 192.168.0.0/24 -p tcp -j LOG
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5900 -j DNAT --to-destination 192.168.0.13
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5901 -j DNAT --to-destination 192.168.0.3
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5902 -j DNAT --to-destination 192.168.0.2
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5903 -j DNAT --to-destination 192.168.0.5
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5904 -j DNAT --to-destination 192.168.0.39
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5905 -j DNAT --to-destination 192.168.0.25
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5906 -j DNAT --to-destination 192.168.0.12
-A PREROUTING -d 200.201.0.0/16 -p tcp -j ACCEPT
-A PREROUTING -d 200.201.174.202/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80
-A PREROUTING -d 200.201.174.203/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80
-A PREROUTING -d 200.201.174.204/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80
-A PREROUTING -d 200.201.174.205/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80
-A PREROUTING -d 200.201.174.206/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80
-A PREROUTING -d 200.201.174.207/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
-A PREROUTING -d 200.201.174.208/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80
-A PREROUTING -d 200.201.174.209/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.1:8080
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Jul 17 16:03:33 2009
# Generated by iptables-save v1.4.0 on Fri Jul 17 16:03:33 2009
*filter
:INPUT ACCEPT [14033:9696397]
:FORWARD ACCEPT [2449:2098627]
:OUTPUT ACCEPT [17186:10097467]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A FORWARD -d 200.201.0.0/16 -p tcp -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p icmp -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 5900 -j ACCEPT
COMMIT
# Completed on Fri Jul 17 16:03:33 2009

Diede
(usa Debian)

Enviado em 20/07/2009 - 09:55h

Aparentemente está tudo como deveria estar.
Esta máquina está como gateway das outras máquinas?
Ainda há problemas?

jlaudirt
(usa Slackware)

Enviado em 20/07/2009 - 12:03h

miraculosamente o erro parou.
estou conseguindo conectar ftp externo agora