Como acessar externamente um Servidor FTP interno atraves do firewall

Altista
(usa Ubuntu)

Enviado em 27/04/2010 - 15:15h

Prezados estou com o seguinte problema tenho um servidor(W2008) FTP na rede interna, preciso que os usuários acessem este servidor externamente, entre o Server FTP e a internet tenho um Firewall/Proxy server linux. Qual o procedimento para que eu consiga fazer esta conexão?

renato_pacheco
(usa Debian)

Enviado em 27/04/2010 - 15:21h

No iptables eu até tenho uma certa experiência, mas eu quero acompanhar esse tópico pois eu tb tive problemas em liberar...

fbsalvi
(usa Outra)

Enviado em 27/04/2010 - 15:50h

Ola Alista, é o seguinte na minha rede interna tem um micro que uso o mesmo como ftp. E consigo acessa-lo de qualquer lugar tanto internamente como externo. Eu tb tenho um firewall aki. Na minha maquina interna roda o filezilla como servidor ftp, bom a regra que uso no meu firewall para redirecionar é a seguinte:

iptables -t nat -A PREROUTING -d <ip_internet> -p tcp --dport 21 -j DNAT --to <ip_microlan>:21

assim funfa sem problemas, acesso externamente trankilamente.

Fabiano.

Altista
(usa Ubuntu)

Enviado em 27/04/2010 - 17:13h

Fbsalvi eu fiz o que vc indicou coloquei a linha configurada de acordo com a minha rede mas mesmo assim não consegui acessar o Server FTP externamente, internamente o Server FTP esta funcionando normalmente.

renato_pacheco
(usa Debian)

Enviado em 27/04/2010 - 17:16h

Comigo acontece a msm coisa. Suspeito q seja o funcionamento do vsftpd q esteja d uma forma diferente. Acredito q ele deva utilizar outras portas, sei lá...

Altista
(usa Ubuntu)

Enviado em 27/04/2010 - 17:56h

Prezados consegui, achei no google um tutorial de Iptables que tinha redirecionamento de portas para o VNC para estações da rede, eu adaptei para o FTP e funcionou estou conseguindo acessar externamente, segue o link do tutorial: http://www.zago.eti.br/firewall/iptables-modelos.html.
O modelo que peguei segue abaixo:
##### VNC
# Redireciona portas na primeira maquina vnc troque o ip conforme a maquina que deseja acessar.
iptables -A FORWARD -i $EXTERNA -p tcp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $EXTERNA -p udp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i $EXTERNA --dport 5800:5900 -j DNAT --to 192.168.1.144:5800-5900
iptables -t nat -A PREROUTING -p udp -i $EXTERNA --dport 5800:5900 -j DNAT --to 192.168.1.144:5800-5900

Efetuei as alterações e adicionei ao .conf do Firewall e ficou da seguinte forma:

iptables -A FORWARD -i eth0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to 192.168.0.2:21
iptables -t nat -A PREROUTING -p udp -i eth0 --dport 21 -j DNAT --to 192.168.0.2:21

renato_pacheco
(usa Debian)

Enviado em 27/04/2010 - 19:14h

Nó, mano. Vou experimentar essa parada. Valew ae... qq coisa eu posto os meus resultados.

fbsalvi
(usa Outra)

Enviado em 28/04/2010 - 08:21h

Opa que bom que deu certo ae no seu caso:

mas se observando a linha:

iptables -t nat -A PREROUTING -p tcp -i $EXTERNA --dport 5800:5900 -j DNAT --to 192.168.1.144:5800-5900

a unica coisa que mudou em relação a que te passei foi -i $externa, no meu caso eu indiquei meu ipvalido, e nao necessitei de colocar o forward.

MAs ja eh uma dica que tb vou anotar..

Abraços

Fabiano.

altista
(usa Ubuntu)

Enviado em 29/04/2010 - 20:54h

E verdade, eu notei isto, antes eu tentei a regra que vc indicou mas não sei pq não deu certo, em outros sites tb indicavam a mesma regra que vc falou com pequenas diferenças e segundo os usuários funcionou com eles. Continuei procurando e testando, até que achei esta indicação que enviei anteriormente e acabou dando certo, gostaria de saber pq só esta que deu certo.