liberar ftp

wesleymauricio
(usa Debian)

Enviado em 13/10/2010 - 11:15h

seguinte, configurei um firewall com squid autenticado, funcionando perfeitamente, unico problema é que não consigo acessar ftp nos clientes, pois são necessário efetuar downloads que utilizam o protocolo ftp.

segue meu codigo do firewall:
#!/bin/bash

iniciar(){

echo "Carregando o Firewall...................................."

#POLITICA PADRAO DROP
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

#Liberando o Ping pra internet
iptables -A OUTPUT -p icmp --icmp-type 8 -s $IP -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d $IP -j ACCEPT

#Liberando o Ping pra rede 1 a 126
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.1.1 -d 192.168.1.0/255.255.255.128 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.1.0/255.255.255.128 -d 192.168.1.1 -j ACCEPT

#Liberando o Ping pra rede 129 a 254
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.1.129 -d 192.168.1.128/255.255.255.128 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.1.128/255.255.255.128 -d 192.168.1.129 -j ACCEPT

#Liberando loopback
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -d 127.0.0.1 -j ACCEPT

#Liberando consultas DNS para o servidor
iptables -A OUTPUT -p udp -s $IP --sport 1024:65535 -d 0/0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --sport 53 -d $IP --dport 1024:65535 -j ACCEPT

#Liberando acesso http para o servidor
iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 -d 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 80 -d $IP --dport 1024:65535 -j ACCEPT

#Liberando acesso ssl para o servidor
iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 -d 0/0 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 443 -d $IP --dport 1024:65535 -j ACCEPT

#Liberando acesso ftp para o servidor
iptables -A OUTPUT -p tcp -s $IP --sport 1024:65535 -d 0/0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 21 -d $IP --dport 1024:65535 -j ACCEPT

#COMPARTILHANDO A CONEXAO
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

echo "Firewall carregado com sucesso!"

}
parar(){

#Limpando Tabelas
iptables -F
iptables -F -t nat

}

freedom(){

#Limpando Tabelas
iptables -F
iptables -F -t nat

#POLITICA PADRAO ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

#Compartilhando Internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

#Liberando o squid para a rede
iptables -A INPUT -p tcp -s 192.168.1.0/255.255.255.128 --sport 1024:65535 -d 192.168.1.1 --dport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.1.1 --sport 3128 -d 192.168.1.0/255.255.255.128 --dport 1024:65535 -j ACCEPT

}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
"freedom") freedom ;;
*) echo "Use os parametros start, stop, restart ou freedom!"
esac

irado
(usa XUbuntu)

Enviado em 13/10/2010 - 11:30h

quando SEM fwll, funciona?

(sei que estão faltando algumas regras aí - pra ftp - mas vou ter que olhar lá em casa)

BTW, já pesquisou aqui no VOL e google sobre ftp iptables?

http://www.google.com.br/search?q=ftp+iptables+linux&ie=utf-8&oe=utf-8&aq=t&rls=org....

wesleymauricio
(usa Debian)

Enviado em 13/10/2010 - 12:01h

Sim, com o firewall desativado funciona normalmente.

removido
(usa Nenhuma)

Enviado em 13/10/2010 - 12:33h

da uma olhada

http://www.vivaolinux.com.br/topico/netfilter-iptables/liberar-FTP-no-iptables

================================

#!/bin/bash

# Comando IPTables
IPTABLES="/usr/sbin/iptables"

# Interface Internet
P1="eth0"

# Limpando as regras em memória
$IPTABLES -F -t filter
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X -t filter
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
$IPTABLES -Z -t filter
$IPTABLES -Z -t mangle
$IPTABLES -Z -t nat

# Mudando as políticas para DROP
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P OUTPUT DROP
$IPTABLES -t filter -P FORWARD DROP

modprobe nf_nat_ftp
modprobe nf_conntrack_ftp

$IPTABLES -A INPUT -i eth0 -p tcp -s 0/0 --dport 21 -j ACCEPT

$IPTABLES -A INPUT -i eth0 -p tcp -s 0/0 --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT

==========================

eu fiz muitas alterações no meu firewall, mas está em casa, assim que chegar eu te envio, e o FTP está funcionando perfeitamente =)

emerson2703
(usa CentOS)

Enviado em 13/10/2010 - 14:57h

tente isso
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

wesleymauricio
(usa Debian)

Enviado em 14/10/2010 - 10:26h

O proxy aqui não é transparente, dai quando desativo o proxy no navegador e deixo o FORWARD pra maquina da rede liberado, consigo baixar arquivos pelo ftp, gostaria de encontrar uma solução para que eu não precise ficar desabilitando o proxy nos navagadores.

magnolinux
(usa Debian)

Enviado em 14/10/2010 - 11:46h

crie uma regra no squid liberando a porta 21.

a regra ficaria assim

acl acesso_ftp port 21
http_access allow acesso_ftp

um outro ponto importante, o ftp utiliza outra ou um range de portas para efetuar a transferencia de dados. Que nesse caso tambem precisa ser liberado no firewall


testa e posta aí

abraço..