Liberar portas 20 e 21

last_evolution
(usa Slackware)

Enviado em 25/06/2008 - 08:45h

Bom dia pessoal, estou precisando muito da ajuda de vocês. Aqui na empresa onde teabalho agora temos um proxy/firewall rodando slackware que eu mesmo me aventurei em montar e estava sendo feliz até hoje...o que acontece é que um programa que utilizamos aqui usa as portas 20 e 21 e as maiores que 1023 para se conectar ao servidor e efetuar sua auto-atualização.

o endereço do servidor é

kitalfa.alfaseguradora.com.br

então preciso liberar as portas 20 e 21 para cesso total a esse endereço.

Minha rede interna é 192.168.0.0/24

ja tentei;

iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT


Abraços!

m4tri_x
(usa Ubuntu)

Enviado em 25/06/2008 - 09:02h

Bom dia Eli,

Intão cara, pelo que entendi, vocês tem um sistema ai interno do qual utiliza da porta 20,21 e superiores de 1023 para efetuar download das atualizações de outro servidor isolado da sua empresa.

tenta assim:

iptables -A FORWARD -p TCP -s 192.168.0.0/24 -d IPSERVIDORDISTINTO -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d IPSERVIDORDISTINTO -j MASQUERADE

[]´s

last_evolution
(usa Slackware)

Enviado em 25/06/2008 - 09:16h

Bom dia matrix, tentei cara mas não funcionou =/

Tem outra idéia?

Abraços!

m4tri_x
(usa Ubuntu)

Enviado em 25/06/2008 - 09:27h

intão kra, precisamos descobrir o porque de ainda estar negando.

roda esse comando:

#tcpdump -i ethX |grep 192.168.0.13

onde ethX é o adaptador que esta conectado o 192.168.0.13. 192.168.0.13 é o ip que estamos testando a atualização.

ok, agora roda o comando e tenta atualizar o sistema pela maquina 192.168.0.13 vai aparecer alguns dados lá na saida do comando que executamos.

cola essa saida aqui..

[]´s

last_evolution
(usa Slackware)

Enviado em 25/06/2008 - 09:36h

Essa foi a saída,

root@proxy:/usr/src/linux/kernel# tcpdump -i eth1 |grep 192.168.0.201
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
09:36:39.569583 arp who-has 192.168.0.1 tell 192.168.0.201
09:36:39.569692 IP 192.168.0.201.iad1 > roma.flash.tv.br.domain: 1233+ A? kitalfa.alfaseguradora.com.br. (47)
09:36:39.577948 IP roma.flash.tv.br.domain > 192.168.0.201.iad1: 1233 1/4/0 (143)
09:36:39.594820 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: S 3135657213:3135657213(0) win 65535 <mss 1460,nop,nop,sackOK>
09:36:39.638090 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: S 1684188297:1684188297(0) ack 3135657214 win 5840 <mss 1460,nop,nop,sackOK>
09:36:39.638328 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: . ack 1 win 65535
09:36:40.117298 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: P 1:34(33) ack 1 win 5840
09:36:40.118411 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: P 1:42(41) ack 34 win 65502
09:36:40.168878 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: . ack 42 win 5840
09:36:40.350552 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: P 34:97(63) ack 42 win 5840
09:36:40.351574 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: P 42:55(13) ack 97 win 65439
09:36:40.405854 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: . ack 55 win 5840
09:36:40.841576 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: P 97:170(73) ack 55 win 5840
09:36:40.841787 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: P 170:248(78) ack 55 win 5840
09:36:40.841935 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: . ack 248 win 65288
09:36:40.843745 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: P 55:63(8) ack 248 win 65288
09:36:40.903964 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: . ack 63 win 5840
09:36:40.904224 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: P 248:267(19) ack 63 win 5840
09:36:40.905146 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: P 63:73(10) ack 267 win 65269
09:36:40.987663 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: . ack 73 win 5840
09:36:41.169256 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: P 267:295(28) ack 73 win 5840
09:36:41.184458 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: P 73:100(27) ack 295 win 65241
09:36:41.237439 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: . ack 100 win 5840
09:36:41.237733 IP ftpservice01.infolink.com.br.ftp > 192.168.0.201.1712: P 295:321(26) ack 100 win 5840
09:36:41.351165 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: . ack 321 win 65215
09:36:42.090359 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: R 100:100(0) ack 321 win 0
09:36:44.576984 arp who-has 192.168.0.201 tell 192.168.0.1
09:36:44.577120 arp reply 192.168.0.201 is-at 00:14:2a:1b:12:89 (oui Unknown)

m4tri_x
(usa Ubuntu)

Enviado em 25/06/2008 - 10:13h

Mano ao que me parece o pedido ao firewall foi aceito.

Agora essa linha:

09:36:42.090359 IP 192.168.0.201.1712 > ftpservice01.infolink.com.br.ftp: R 100:100(0) ack 321 win 0

acredito que tenha falhado por algum motivo, pode ser que seja alguma configuração errada no atualizador ou então o ftp requer alguma configuração como PASSIVO, mais acho que o problema não vai ser no firewall não...

Retorna algum erro no sistema de atualização??

[]´s

last_evolution
(usa Slackware)

Enviado em 25/06/2008 - 11:19h

opa, valeu cara

então retorna sim.

Erro ao tentar listar o conteúdo do diretório /pub.Motivo: 500 Illegal port command

Abraços!

m4tri_x
(usa Ubuntu)

Enviado em 25/06/2008 - 11:25h

você usa um gerenciador de FTP?

tenta conectar com passive mode, tp, tenta também com o comando FTP do cmd, e tenta listar as pastas, pois esse erro ele já esta conectado intão a conexão já foi estabelecida...

[]´s

last_evolution
(usa Slackware)

Enviado em 25/06/2008 - 13:05h

cara, valeu mesmo pelas dicas, além de estar tentando me ajudar ja aprendi várias coisas novas..:D

mas ainda tenho uma dúvida...antes de termos o servidor de internet conectavamos com um Dlink e tudo funcionava normal...pelo jeito o problema está em alguma configuração do servidor...como eu faço para configura-lo de maneira que possa deixar os acessos FTP em modo passivo?

last_evolution
(usa Slackware)

Enviado em 25/06/2008 - 13:35h

bem, basicamente preciso deixar o caminho totalmente livre para comunicação nos endereços kitalfa.alfaseguradora.com.br e frontend.alfacap.com.br nas portas 20 21 e maiores que 1023, e pelo jeito realmente são servidores FTP porém não aceitam login anonimo. Quando tentei baixar alguns arquivos pelo mesmo programa só que agora no servidor frontend.alfacap.com.br ele retornou o erro:

Não foi possível alterar o diretório. 500 Control connection closed. Connection aborted (Winsock error#10053)

Abraços!