Nao Acesso meu FTP de uma rede Externa

ST. RaLF
(usa Arch Linux)

Enviado em 01/04/2009 - 13:56h

Mas calma ai, você vai precisar de um ftp no firewall e outro na máquina que o firewall vai ter que encaminhar?

E quando for assim, posta suas regras, não a listagem das mesmas.

dastyler
(usa Fedora)

Enviado em 01/04/2009 - 14:08h

se a NET (empresa) não está bloqueando o acesso a porta 21 no seu virtua?
Tente fazer uma regra de POSTROUTING pela porta 21 invertida da PREROUTING. Exemplo de regras do iptables que está funcional:

IPTABLES="/sbin/iptables"
IPWEB="seuipnanet"
IPFTP="ipseuservidorftp"

$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --sport 20 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 21 -j ACCEPT


$IPTABLES -t nat -A PREROUTING -p tcp -d $IPWEB --dport 20:21 -j DNAT --to $IPFTP
$IPTABLES -t nat -A POSTROUTING -p tcp -d $IPFTP --dport 20:21 -j SNAT --to $IPWEB

[]´s

ST. RaLF
(usa Arch Linux)

Enviado em 01/04/2009 - 14:16h

Minhas regras de redirecinamento de RDP:

iptables -A PREROUTING -d <ip_externo> -p tcp -m tcp --dport 3389 -j DNAT --to-destination <ip_interno>:3389
iptables -A FORWARD -d <ip_interno> -i <interface_externa> -o <interface_interna> -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT

eesm_redhat
(usa Arch Linux)

Enviado em 01/04/2009 - 14:49h

E que assim, na verdade tenho dois ftp um em cada servidor so que nao quero usar o ftp de onde esta o firewall quero redirecionar para a maquina 192.xxx.xxx.xxx.

Em qualuqer um dos ftps tanto 192.xxx qto 201.xxx eu acesso na rede interna so que de fora da empresa eu nao acesso, so que o meu firewall esta na com o ftp 201.xxx.xxx que e minha eth0 do proverdor da internet.
Entao quero que qdo entre qqr solicitacao de ftp no endereco 201.xxx.xxx.xxx ele redirecione para o endereco 192.168.xxx.xxx q e o meu ftp ativo

Nao sei se consegui esclarecer ,

agradeco a forca que vc esta me dando


vlwww

eesm_redhat
(usa Arch Linux)

Enviado em 01/04/2009 - 14:52h

iptables -A INPUT -j LOG --log-prefix " INPUT "
iptables -A FORWARD -j LOG --log-prefix " FORWARD
iptables -A OUTPUT -j LOG --log-prefix " OUTPUT "


iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.xxx.xxx:21
iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 21 -i eth0 -j DNAT --to 192.168.xxx.xxx:21
iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 -d 201.xxx.xxx.xxx--dport 21 -j DNAT --to 192.168.xxx.xxx:21


iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 20 -j ACCEPT

ST. RaLF
(usa Arch Linux)

Enviado em 01/04/2009 - 15:12h

Amigo, com as regras acima, desativa o ftp do firewall, em uma outra maquina da o seguinte comando: telnet <ip> 21 e posta o resultado.

dastyler
(usa Fedora)

Enviado em 01/04/2009 - 15:19h

o postrouting para os pacotes que deixam o firewall, pois acredito que ele esta pegando o que chega, mas não está saindo o dado no outro nat.

[]´s

eesm_redhat
(usa Arch Linux)

Enviado em 01/04/2009 - 16:05h

Blz Pessoal

Bha entao eu estava fazendo a maior caca, seguite eu fiz dois procedimentos
este teste que fiz foi pelo minha maquina, e tbm no servidor onde fica o firewall

PRIMEIRO no ip onde esta meu FTP
telnet 192.168.xxx.xxx 21
Trying 192.168.xxxx.xxx...
Connected to 192.168.xxx.xxxx.
Escape character is '^]'.
220 Welcome to Incorp Consultoria & Assessoria FTP service.

SEGUNDO no ip da minha internet (firewall)
telnet 201.xxx.xxx.xxx
Trying 201.xxx.xxx.xxx ...
telnet: Unable to connect to remote host: Connection timed out

OBS: ftp que esta ativo e o da maquina que eu redirecionei 192.168.xxx.xxx

Qual das regras acimas citadas por vcs posso usar

ST. RaLF
(usa Arch Linux)

Enviado em 02/04/2009 - 09:59h

Faz igual o amigo acima falou:
$IPTABLES -t nat -A PREROUTING -p tcp -d $IPWEB --dport 20:21 -j DNAT --to $IPFTP
$IPTABLES -t nat -A POSTROUTING -p tcp -d $IPFTP --dport 20:21 -j SNAT --to $IPWEB

E mais um FORWARD, de entrada e saída.

eesm_redhat
(usa Arch Linux)

Enviado em 02/04/2009 - 13:20h

IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --sport 20 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 21 -j ACCEPT


$IPTABLES -t nat -A PREROUTING -p tcp -d 201.XXX.XXX.XXX --dport 20:21 -j DNAT --to 192.XXX.XXX
$IPTABLES -t nat -A POSTROUTING -p tcp -d 192.XXX.XXX.XXX --dport 20:21 -j SNAT --to 201.XXX.XXX.XXX

iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT

eesm_redhat
(usa Arch Linux)

Enviado em 02/04/2009 - 13:22h

Nao entendi muito bem, o FORWORD de entrada e saida, com esta forma vou somente estar aceitando o FORWORD nao eh?

dastyler
(usa Fedora)

Enviado em 02/04/2009 - 13:22h

Isso. Deu certo?

[]´s