jorgessn
(usa Ubuntu)
Enviado em 01/10/2013 - 05:51h
Pessoal, alguém poderia me informar quais regras tenho que usar para liberar o ftp no firewall?
Tenho um server de ftp e firewall na mesma maquina, o server tem 2 placas de rede eth0 com ip 10.1.1.2 que entra o link da gvt e eth1 com ip 192.168.1.111 que liga em um roteador wifi para espalhar o sinal, o ftp é o vsftpd e uso ftp_data_port na 2020. O ftp funciona de dentro da rede interna ou na externa sem o firewall,mas com firewall não vai! Segue meu iptables:
#! /bin/sh
### BEGIN INIT INFO
# Provides: firewall
# Required-Start:
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: firewall
### END INIT INFO
case $1 in
stop)
#POLITICAS QUE ACEITAM QUALQUER TIPO DE CONEXAO
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
#LIMPA AS REGRAS DA TABELA NAT E FILTER
iptables -t nat -F
iptables -t filter -F
;;
start)
#POLITICAS QUE BLOQUEIAM QUALQUER TIPO DE CONEXAO
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
#INICIO DAS REGRAS
#LIBERA GERAL
iptables -A OUTPUT -p tcp -s 0/0 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d 0/0 -j ACCEPT
iptables -A OUTPUT -p udp -s 0/0 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d 0/0 -j ACCEPT
iptables -A FORWARD -p udp -s 0/0 -d 0/0 -j ACCEPT
#PERMITE PASSAGEM DE PACOTES DA REDE LOCAL PARA O MUNDO
iptables -t nat -I POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
# DEIXA O FIREWALL PASSAR OS PACOTES PARA LOOPBACK
iptables -A INPUT -i lo -j ACCEPT
#LIBERA FTP
iptables -A FORWARD -p tcp --sport 21 -s 192.168.1.111 -d 0/0 --dport 0:65535 -j ACCEPT
iptables -A FORWARD -p tcp --sport 0:65535 -s 0/0 -d 192.168.1.111 --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --sport 0:65535 -s 0/0 -d 179.185.24.36 --dport 21 -j DNAT --to 191.168.1.111:21
iptables -A FORWARD -p tcp --sport 2020 -s 10.1.1.2 -d 0/0 --dport 0:65535 -j ACCEPT
iptables -A FORWARD -p tcp --sport 0:65535 -s 0/0 -d 10.1.1.2 --dport 2020 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --sport 0:65535 -s 0/0 -d 179.185.24.36 --dport 2020 -j DNAT --to 192.168.1.111:2020
;;
restart)
$0 stop
sleep 1
$0 start
;;
*)
echo 'POR FAVOR USE "stop | start | restart"'
;;
esac
Obrigado!