Download de arquivos com o PTA, programa da Agência Nacional de Saúde [RESOLVIDO]

buenoedson
(usa Debian)

Enviado em 05/10/2021 - 11:41h

Estou com um problema ao fazer downloads com o PTA (Programa Transmissor de Arquivos) da ANS. Quando o computador está conectado diretamente na internet, faz o download normalmente, mas ao passar pelo iptables não funciona de jeito nenhum. Tentei as soluções que encontrei aqui no Viva o Linux e outros sites.

Configurei um servidor novo só para testes e está liberando tudo por padrão.

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P INPUT ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE

Tentei com NAT para a estação, mas também não obtive sucesso
iptables -t nat -I PREROUTING -i ens18 -s receptor.ans.gov.br -j DNAT --to-destination 192.168.1.167
iptables -A FORWARD -p tcp -o ens19 --syn -d 192.168.1.167 -j ACCEPT

No anexo tem imagem do wireshark. Em uma a estação passa pelo servidor e deu erro. Na outra está conectada diretamente na internet e funcionou.

removido
(usa Nenhuma)

Enviado em 05/10/2021 - 12:08h

Para que o FTP funcione corretamente por trás de um gateway NAT, você precisará carregar os módulos ip_conntrack_ftp e ip_nat_ftp.

Poderia testar?

modprobe nf_conntrack_ftp 
modprobe nf_nat_ftp 

removido
(usa Nenhuma)

Enviado em 05/10/2021 - 12:13h

Adendo,

"Iptables precisa dos módulos conntrack para rastrear os números das portas e endereços que o FTP usa nos comandos PASV e PORT. Além disso, quando você está fazendo NAT, os módulos NAT são necessários para reescrever números de portas e endereços para que o protocolo FTP possa funcionar corretamente. "

buenoedson
(usa Debian)

Enviado em 05/10/2021 - 13:55h

Os módulos estão ativos

# lsmod | grep ftp
nf_nat_ftp             20480  0
nf_conntrack_ftp       24576  1 nf_nat_ftp
nf_nat                 53248  4 nf_nat_ftp,xt_nat,nft_chain_nat,xt_MASQUERADE
nf_conntrack          176128  7 xt_conntrack,nf_nat,nf_nat_ftp,xt_state,xt_nat,nf_conntrack_ftp,xt_MASQUERADE 

Mesmo assim continua com erro, tanto com o NAT para a estação quanto sem.
Pelo que eu pesquisei, deveria funcionar com os módulos de ftp + iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

buenoedson
(usa Debian)

Enviado em 05/10/2021 - 15:17h

Consegui fazer funcionar.
Nas versões mais novas do kernel só habilitar os módulos não é suficiente, pois o helper do conntrack não inicia automaticamente, é necessário usar o comando

echo 1 > /proc/sys/net/netfilter/nf_conntrack_helper 

Apesar de não ser necessário, é bom substituir iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT por iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT pois o primeiro está depreciado.

Fonte: http://linuxfirewall.com.br/linuxwp/netfilter-utilizacao-segura-dos-helpers-nat-conntrack/


Resumindo:

modprobe nf_conntrack_ftp 
modprobe nf_nat_ftp
echo 1 > /proc/sys/net/netfilter/nf_conntrack_helper
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE 

albfneto
(usa openSUSE)

Enviado em 05/10/2021 - 16:11h

Sua solução é interessante.
Sugiro que poste uma Dica para publicação aqui no VOL, do seu procedimento.


¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨
Albfneto,
Ribeirão Preto, S.P., Brasil.
Usuário Linux, Linux Counter: #479903.
Distros Favoritas: Sabayon, Gentoo, openSUSE, Mageia e OpenMandriva.

buenoedson
(usa Debian)

Enviado em 06/10/2021 - 10:47h

Vou fazer isso