liberar FTP Firewall [RESOLVIDO]

Pessoal novamente venho pedir ajuda de vocês aparentemente em algo simples,Ja andei olhando alguns tópicos mas não deu certo.

BOm como disse sou iniciante e recentemente configurei DEBIAN SQUEEZE pra ser o FIREWALL aqui na empresa.

Esta quase tudo até agora normal a não ser por alguns detalhes rsrs

Estou tentando acessar o FTP externo e acontece o seguinte, eu acesso o endereço, pede o LOGIN E SENHA mas aparece CONNECTION TIME OUT

Meu FIREWALL ainda esta gatinhando é somente ele sem squid, pois ainda vou fazer isso, enfim....estou usando essa linha pra liberar acesso a porta 20 e 21 ....

O que pode estar errado ou faltando ????
Agradeço desde já :)



iptables -A FORWARD -p tcp -s 0/0 --sport 1024:65535 -d 0/0 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 --dport 1024:65535 -d 0/0 --sport 20 -j ACCEPT

iptables -A FORWARD -p tcp -s 0/0 --sport 1024:65535 -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 --dport 1024:65535 -d 0/0 --sport 21 -j ACCEPT

help me please :)

Creio que o problema não esteja no seu firewall, pois se fosse firewall não solicitaria nem o usuário e senha, e sim no FTP... ele esta no modo ativo ou passivo?

não sei dizer,
mas li alguns tópicos e algumas pessoas tinham esse problema, aparecia tela de login mas não listava o conteúdo do FTP e dava connection time out que é meu caso também....

estou tentando por os módulos

modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

mas como um bom iniciante que sou...onde devo por essa declaração ? logo apos o start) ????

agradeço desde já

Você pode inserir os comandos para carregar os módulos, no inicio do seu script de firewall.

coloquei os módulos para carregar


#! /bin/sh

### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $remote_fs $syslog
# Required-Stop: $remote_fs $syslog
# Default-Start: 2 3 4 5
# Default-Stop:
# Short-Description: firewall
### END INIT INFO


case $1 in

stop)

###carregar módulos ftp
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp


## politicas que aceitam qualquer tipo de conexão

iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

## limpar as regras das tabelas NAT e FILTER
iptables -t nat -F
iptables -t filter -F

;;

start)

## politicas que bloqueiam qualquer tipo de conexão
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

## permite que a maquina FIREWALL ping loopback
iptables -A OUTPUT -p icmp -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp -d 127.0.0.1 -j ACCEPT

## permite que a maquina FIREWALL ping para o resto do mundo
iptables -A INPUT -p icmp -i eth0 -j ACCEPT
iptables -A INPUT -p icmp -d 192.168.0.1 -j ACCEPT

## Habilita acesso ao FTP EXTERNO

iptables -A FORWARD -p tcp -s 192.168.0.0/24 --sport 1024:65535 -d 0/0 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.0.0/24 --dport 1024:65535 -s 0/0 --sport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --sport 1024:65535 -d 0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.0.0/24 --dport 1024:65535 -s 0/0 --sport 21 -j ACCEPT

####

consigo chegar até a tela de login, mas não passa de lá, CONNECTION TIME OUT, mas quando tiro o firewall e entra normal.....
ja pesquisei em outros fóruns, haviam problemas parecidos, mas nada que me ajudou...estou tentando mas se alguém tiver algo fico agradecido :) valeu \o

Primeiro, logado como root, execute os comandos(com o firewall habilitado):

#modprobe ip_nat_ftp 

#modprobe ip_conntrack

#modprobe ip_conntrack_ftp  

 

E teste a conexão ao FTP, caso resolva o seu problema as insira dento do "case" start(atualmente, você esta carregando os modulos ao "parar" o script).

start)

#blblabla resto do script ... 

#Carrega modulos para o FTP

modprobe ip_nat_ftp 

modprobe ip_conntrack

modprobe ip_conntrack_ftp  

## politicas que bloqueiam qualquer tipo de conexão

iptables -P OUTPUT DROP

iptables -P INPUT DROP

iptables -P FORWARD DROP

#blblabla resto do script ... 

 

ainda não deu certo, fiz como pediu... tem um amigo que esta vendo meu script também, mas agradeço a ajuda de todos :)

Estava pensando nesta regra, o servidor FTP esta no próprio firewall certo? se estiver em outro equipamento na rede, informe o IP.

Bueno, para permitir acesso de "qualquer" maquina ao FTP instalado no firewall você precisa de:

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT

Alem disso, para esse micro encaminhar pacotes(FORWARD), você precisa ter isso habilitado no kernel:
echo 1 > /proc/sys/net/ipv4/ip_forward
OU
sysctl -w net.ipv4.ip_forward=1

Então para testar(depois você incrementa a regra de acesso ao FTP e outras que queira adicionar) deixe esta parte do seu sript assim:

##Restante do screip...



start)

#Habilita IP forward

echo 1 > /proc/sys/net/ipv4/ip_forward



# Carrega modulos 

` which modprobe`  ip_nat_ftp

` which modprobe`  ip_conntrack

` which modprobe`  ip_conntrack_ftp



## politicas que bloqueiam qualquer tipo de conexão

iptables -P OUTPUT DROP

iptables -P INPUT DROP

iptables -P FORWARD DROP



## Permite conexões estabelecidas

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



## permite que a maquina FIREWALL ping loopback

iptables -A OUTPUT -p icmp -d 0/0 -j ACCEPT

iptables -A INPUT -p icmp -d 127.0.0.1 -j ACCEPT



## permite que a maquina FIREWALL ping para o resto do mundo

iptables -A INPUT -p icmp -i eth0 -j ACCEPT

iptables -A INPUT -p icmp -d 192.168.0.1 -j ACCEPT



## Habilita acesso ao FTP 

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT



 

Teste aí e poste o resultado.

Então, o FTP esta externo, e não no meu firewall .....
sysctl -w net.ipv4.ip_forward=1 ja fiz isso quando subi o firewall, dentro de /etc/sysctl.conf tem isso declardo lá, é só descomentar....

humm e agora o que falta fazer, impossível ficar sem solução...
agora de tarde vou mexer novamente....se alguém puder dar mais alguma idéia, fico grato... :)

Olha eu acredito que o problema esteja no seu FTP, altera o modo dele de passivo para ativo...

Gente, é um FTP de terceiros

não é meu rsrs....

ftp.bs.konicaminolta.com.br