Erro com FTP [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 15/09/2009 - 11:04h

Ajudaria, sim. Mas tb ajudaria se vc colocasse o arquivo d configuração do seu servidor FTP. Aliás, nem sei qual é.

fillipemcs
(usa Debian)

Enviado em 15/09/2009 - 11:21h

Será que o problema não é no SQUID?

Segue abaixo minhas configurações do Squid:

acl autenticados proxy_auth REQUIRED

acl all src 0.0.0.0/0.0.0.0

acl rede_interna src 192.168.0.0/255.255.255.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443 # https

acl SSL_ports port 563 # snews

acl SSL_ports port 873 # rsync

acl Safe_ports port 80 # http

acl Safe_ports port 20 # ftp data

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 631 # cups

acl Safe_ports port 873 # rsync

acl Safe_ports port 901 # SWAT

acl purge method PURGE
acl CONNECT method CONNECT


http_access allow autenticados

http_access allow manager localhost

http_access deny manager
http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access allow rede_interna

http_access deny all

renato_pacheco
(usa Debian)

Enviado em 15/09/2009 - 11:22h

Pode ser. Add essa linha no seu squid.conf:

acl Safe_ports port 20 # ftp

E reinicie-o.

Lobo-rio
(usa Ubuntu)

Enviado em 15/09/2009 - 12:20h

Posta aqui tbm a sua regra no firewall, pq eu estava com o mesmo problema e consegui resolver mudando as regras do firewall!!!

fillipemcs
(usa Debian)

Enviado em 15/09/2009 - 13:32h

Amigos, seguem as regras de firewall

#!/bin/bash
iniciar()
{
iptables -F
iptables -Z
iptables -X
iptables -t nat -F

## nat
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -s 0/0 -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -d 0/0 -p tcp --sport 20 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -d 0/0 -p tcp --sport 21 -j ACCEPT

#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT #Fillipe

## Regra de redirecionamento da porta 80 para a 8080 utilizada pelo Dansguardian
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -A INPUT -m tcp -p tcp -s ! 127.0.0.1 --dport 3128 -j DROP
## Regra de redirecionamento da porta 3389 ulilizada pelo Termial Server do Windows 2003
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.251
## Regra de redirecionamento da porta 82 utilizada pelo TSWeb do windows
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 82 -j DNAT --to-destination 192.168.0.251
## VNC
iptables -I FORWARD -p tcp -d 192.168.0.1 --dport 5900 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 5900 -j DNAT --to-destination 192.168.0.1:5900

## VNC
iptables -I FORWARD -p tcp -d 192.168.0.253 --dport 3130 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3130 -j DNAT --to-destination 192.168.0.253:3130

iptables -I FORWARD -p tcp -d 192.168.0.253 --dport 3000 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3000 -j DNAT --to-destination 192.168.0.253:3000

iptables -I FORWARD -p tcp -d 192.168.0.253 --dport 3001 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3001 -j DNAT --to-destination 192.168.0.253:3001

iptables -I FORWARD -p tcp -d 192.168.0.253 --dport 3003 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3003 -j DNAT --to-destination 192.168.0.253:3003

iptables -I FORWARD -p tcp -d 192.168.0.253 --dport 3005 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3005 -j DNAT --to-destination 192.168.0.253:3005

iptables -I FORWARD -p udp -d 192.168.0.253 --dport 3007 -j ACCEPT
iptables -t nat -A PREROUTING -p udp --dport 3007 -j DNAT --to-destination 192.168.0.253:3007

iptables -I FORWARD -p tcp -d 192.168.0.253 --dport 8800 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 8800 -j DNAT --to-destination 192.168.0.253:8800



# iptables -I FORWARD -p tcp -d 192.168.0.6 --dport 22000 -j ACCEPT
# iptables -t nat -A PREROUTING -p tcp --dport 22000 -j DNAT --to-destination 192.168.0.6:22000

## outlook
iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.10.120.2 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 200.10.128.3 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 200.10.120.2 --sport 53 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p udp -s 200.10.128.3 --sport 53 -d 192.168.0.0/24 -j ACCEPT

##FTP (em 11/08/09)
iptables -A FORWARD -p TCP -i 192.168.0.0/24 --dport 21 -j ACCEPT

##POP (11/08/09)
iptables -A FORWARD -p TCP -i 192.168.0.0/24 --dport 110 -j ACCEPT

##SMTP (11/08/09)
iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 25 -j ACCEPT

iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.0.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT

# iptables -A FORWARD -p TCP --dport 25 -i eth0 -j ACCEPT
# iptables -A FORWARD -p UDP --dport 53 -i eth0 -j ACCEPT
# iptables -A FORWARD -p TCP --dport 110 -i eth0 -j ACCEPT
}

parar()
{
iptables -F -t nat
}
case "$1" in
"start")
iniciar
;;
"stop")
parar
;;
*)
echo "utilize start ou stop"
esac


OBS: alguns cometários foram feitos por mim pois já venho tentando mudar essas regras a algumas semanas.

Obrigado pela atenção de todos!

Lobo-rio
(usa Ubuntu)

Enviado em 15/09/2009 - 13:46h

Sei que está em ambiente de produção, e vai ter a mesma dificuldade que tive aqui na empresa em tirar alguns serviços do ar...
Mais caso consiga tentar fazer somente o NAT, e liberar as portas 20 e 21 do FTP no seu script do firewall.
daí tenta fazer o FTP usando o navegador, mais entrando da seguinte maneira:
ftp://usuário:senha@endereçodoftp.
-
-
O meu ficou assim:
ftp://usuario:senha@www.empresa.org.br
Funcionou só depois desse teste que fui acrescentando as outras regras para ver aonde estava o erro.

fillipemcs
(usa Debian)

Enviado em 15/09/2009 - 15:13h

Sei que está em ambiente de produção, e vai ter a mesma dificuldade que tive aqui na empresa em tirar alguns serviços do ar...
Mais caso consiga tentar fazer somente o NAT, e liberar as portas 20 e 21 do FTP no seu script do firewall.
daí tenta fazer o FTP usando o navegador, mais entrando da seguinte maneira:
ftp://usuário:senha@endereçodoftp.

Grande Lobo, obrigado pelas dicas. Somente me ajude num ponto: COMO FAÇO PRA LIBERAR AS PORTAS 20 E 21 PELO FIREWALL para que eu possa tentar usar o artifício acima descrito pelo navegador.

Novamente, obrigado pelas dicas pessoal.

Sou novo no Linux, praticamente fui jogado aos leões. Sou MCP e MCSA e agora estou encarando uma coisa completamente nova pra mim.

Abraço e obrigado a todos!

Lobo-rio
(usa Ubuntu)

Enviado em 15/09/2009 - 15:32h

###
######################################################

#-----------------------------------------------------

modprobe ip_conntrack_ftp

modprobe ip_conntrack

modprobe ip_nat_ftp

modprobe iptable_nat


echo 1 > /proc/sys/net/ipv4/ip_forward


iptables -A INPUT -s 0/0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -d 0/0 -p tcp --Sport 21 -j ACCEPT
iptables -A OUTPUT -d 0/0 -p tcp --Sport 20 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
-
-
Este exemplo está fazendo somente a liberação das portas e o NAT e redirecionamento para o SQUID. Faz uma adaptação para sua rede, lembrando que no primeiro que vc colocou ele está fazendo varios redirecionamento que este não faz.!!!
Então muita gente vai ficar sem os serviços que no outro contém!!