FTP para acesso externo

lauris
(usa Outra)

Enviado em 30/11/2015 - 13:24h

Pessoal Boa Tarde,

Já procurei muitos tópicos principalmente aqui mas não me ajudaram muito... Eu possuo um BrazilFW e não consigo conectar à nenhum FTP externo... No Filezilla por exemplo da erro de obtenção de pasta...
Na eth0 é minha rede local 192.168.0.0/24
Na eth1 e eth4 são Links de internet - Virtua e VIVO respectivamente

Me desculpem mas não tenho muita noção de IPTABLES só abri o tópico pq realmente procurei mas n sei o que estou fazendo de errado

muchiba
(usa Debian)

Enviado em 30/11/2015 - 16:31h

Fala Lauris,

Seu FTP está como ativo ou passivo?

E as regras de FW? Como que liberou a porta de ftp?

Veja sua configuração com:

iptables -nL

ou

iptables -nL | grep 21

conectadohost
(usa XUbuntu)

Enviado em 30/11/2015 - 19:23h

Olá,
Tente esse comando
iptables -F





---> A arte de programar consiste na arte de organizar e dominar a complexidade.
---> Dijkstra <---

lauris
(usa Outra)

Enviado em 30/11/2015 - 19:33h

Primeiramente obrgado pelas respostas.

Segue


Chain INPUT (policy ACCEPT)
target prot opt source destination
traffic-count all -- 0.0.0.0/0 0.0.0.0/0
SSH-MONITOR all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ES TABLISHED
LOG_DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
internal-service all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
traffic-count all -- 0.0.0.0/0 0.0.0.0/0
DROPDNS all -- 0.0.0.0/0 0.0.0.0/0
LOG_DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ES TABLISHED
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x0 2 TCPMSS clamp to PMTU
REJECT tcp -- 192.168.0.0/24 69.63.176.0/20 tcp dpt:443 reject -with icmp-port-unreachable
REJECT udp -- 192.168.0.0/24 69.63.176.0/20 udp dpt:443 reject -with icmp-port-unreachable
REJECT tcp -- 192.168.0.0/24 66.220.144.0/20 tcp dpt:443 reject -with icmp-port-unreachable
REJECT udp -- 192.168.0.0/24 66.220.144.0/20 udp dpt:443 reject -with icmp-port-unreachable
REJECT tcp -- 192.168.0.0/24 66.220.144.0/20 tcp dpt:443 reject -with icmp-port-unreachable
REJECT udp -- 192.168.0.0/24 66.220.144.0/20 udp dpt:443 reject -with icmp-port-unreachable
REJECT tcp -- 192.168.0.0/24 69.171.224.0/19 tcp dpt:443 reject -with icmp-port-unreachable
REJECT udp -- 192.168.0.0/24 69.171.224.0/19 udp dpt:443 reject -with icmp-port-unreachable
REJECT tcp -- 192.168.0.0/24 69.171.224.0/19 tcp dpt:443 reject -with icmp-port-unreachable
REJECT udp -- 192.168.0.0/24 69.171.224.0/19 udp dpt:443 reject -with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
traffic-count all -- 0.0.0.0/0 0.0.0.0/0

Chain DROPDNS (1 references)
target prot opt source destination
LOG_DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
LOG_DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53

Chain LOG_DROP (6 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain SSH-MONITOR (1 references)
target prot opt source destination
tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state N EW recent: SET name: SSH side: source mask: 255.255.255.255
LOG_DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state N EW recent: UPDATE seconds: 300 hit_count: 4 TTL-Match name: SSH side: source mas k: 255.255.255.255

Chain internal-service (1 references)
target prot opt source destination
RETURN icmp -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
RETURN 47 -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
LOG_DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain traffic-count (3 references)
target prot opt source destination
all -- 0.0.0.0/0 0.0.0.0/0
all -- 0.0.0.0/0 0.0.0.0/0
all -- 0.0.0.0/0 0.0.0.0/0
all -- 0.0.0.0/0 0.0.0.0/0
all -- 0.0.0.0/0 0.0.0.0/0
all -- 0.0.0.0/0 0.0.0.0/0
ACCOUNT all -- 0.0.0.0/0 0.0.0.0/0 ACCOUNT addr 192.1 68.0.0/24 tname lan0



###########################################################################################################


Os REJECTS ali em cima é para facebook... tentei diversos comandos que fui pesquisando mas nenhum deu certo para conectar como FileZilla então exclui todos, não entendo muito de formar a regra :/

O FTP é via FileZilla então é a confguração padrão do software

lauris
(usa Outra)

Enviado em 30/11/2015 - 19:52h

Algumas informações extras:

--> A conexão é feita de dentro para fora

#######################################################

--> Tentei as seguintes regras ( Cada numeração um teste )

1
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

2
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

3
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 --dport 21 -j ACCEPT

#############################################################################
--> Versão do FileZilla 3.14.1
Erro:
Estado: Conectando 186.202.132.44:21...
Estado: Conexão estabelecida, esperando mensagem de boas-vindas...
Estado: Servidor sem segurança, não suporta FTP sobre TLS
Estado: Conectado
Estado: Obtendo lista de pastas...
Comando: PWD
Resposta: 257 "/" is your current location
Comando: TYPE I
Resposta: 200 TYPE is now 8-bit binary
Comando: PASV
Resposta: 227 Entering Passive Mode (186,202,132,44,236,55)
Comando: MLSD
Resposta: 150 Accepted data connection
Resposta: 226-Options: -a -l
Resposta: 226 31 matches total
Erro: Connection timed out after 20 seconds of inactivity
Erro: Falha na obtenção da lista de pastas

########################################################################

Peço até desculpas, mas sou um pouco leigo neste assunto

lauris
(usa Outra)

Enviado em 01/12/2015 - 09:48h

Com a ajuda de um outro parceiro testei essa regra:

iptables -I INPUT -p tcp --sport 20:21 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -p tcp --sport 1024:65535 --dport 20:21 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.0.0/24 -p tcp --sport 20:21 --dport 1024:65535 -j ACCEPT

e não funcionou

lauris
(usa Outra)

Enviado em 02/12/2015 - 08:31h

Bom Dia..

Pessoal reconheço que posso estar sendo bem chato mas procurei algumas coisas e queria compartilhar o que eu achei e se tem lógica..

O FilleZilla passou a utilizar TLS nas suas conexões e para resolver problemas teria que utilizar em modo Ativo, pois bem eu testei isso e não funcionou, sinceramente estou "culpando" alguma configuração do BFW (Posso estar errado) ... Testei o FTP por alguns Links que fazem acesso pelo browser

-http://pt.infobyip.com/ftptest.php
-http://www.ftpweb.com.br/?#
-http://www.ftplive.com/ftp/index.php

Nos 3 acima funcionou utilizando conexão passiva que é a padrão deles.

Já neste link https://ftptest.net/ fui obrigado a colocar a opção "Plain FTP (insecure)" para dar sucesso caso contrário não conectava...

Agora eis a questão... Porque será que não consigo pelo cliente (Já usei FileZilla, SmartFTP, Core FTP)? Será que ele usa por trás algum modulo contendo TLS e barra minha conexão?

lauris
(usa Outra)

Enviado em 02/12/2015 - 09:20h

conectei via CMD... Ele conecta tudo OK, consigo dar ls mas quando vou informar comando dir ele não conecta

Mic rosoft Windows [versão 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados.


C:\Users\MokAdm>ftp xxx.com.br
Conectado a xxx.com.br.
220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
220-You are user number 1 of 50 allowed.
220-Local time is now 09:10. Server port: 21.
220-This is a private system - No anonymous login
220-IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.

Usuário (xxx.com.br:(none)): xxx
331 User xxx OK. Password required
Senha:
230-User xxx has group access to: users
230 OK. Current restricted directory is /

ftp> ls

200 PORT command successful
150 Connecting to port 52333
backupBD
backup_antes_atualizacao_pelo_svn
backup_chamado_30434742
backup_scripts
bkpUpdateSVN.sh
bkpUpdateWACM.sh
certificado_2014
certificado_2015
classes
conexoes
conexos
funcoesUteis
index.php
info.txt
logs
mkdvm.vdi.7z
public_html
svn
teste.ova
teste.txt
testejp
226 21 matches total
ftp: 289 bytes recebidos em 0,00Segundos 289000,00Kbytes/s.

ftp> dir

200 PORT command successful
150 Connecting to port 52335

muchiba
(usa Debian)

Enviado em 02/12/2015 - 09:22h

Fala Lauris,

Como você pode ver no log ele está conectando. E em seus testes externos também deixa claro que esta conectando, sendo assim, acredito que não se trata de firewall.

As permissões dos diretórios e arquivos estão certas?
Se conectar de outra maquina linux, com o comando "ftp SERVER 21" ele lista os arquivos?

Em minha opnião seu problema é o filezilla.

Pode tentar baixar o gftp e testar ou algum outro programa para ter certeza se o problema é o filezilla ou não.

Já tentou configurar o seu filezilla como only use plain FTP(insecure). e Tipo de logon Normal?

Se através de outros locais está ok, realmente acho pouco provavel o problema ser firewall.
O Filezilla é todo zuado, programa chato do cão, já tive vários problemas com ele. Desde ele inserir espaço no final da senha quando copiava e colava até a exibição das pasta igual está sofrendo. E em todas as vezes nem relei no server, sempre era o filezilla

lauris
(usa Outra)

Enviado em 02/12/2015 - 09:31h

Muchiba muito obrigado pela resposta e desculpa ser chato de ficar toda hora postando no tópico...

Testei pelo FileZilla 3.14 e 3.7 , pelo Core FTP, pelo Smart FTP e não vai. Pelo broswer nos links de FTP funcionou mas acho que é porque usa porta 80 ou 443.
O pessoal sempre utilizou FZ e funcionava tudo bem foi só colocar o firewall que tive problemas assim, quando eu acesso da minha rede interna para o FTP interno tudo OK, quando acesso da rede interna para FTP externo que da a dor de cabeça o pessoal aqui está utilizando a porta 22 temporariamente

lauris
(usa Outra)

Enviado em 02/12/2015 - 16:11h

Verifiquei que acessando um outro domínio está funcionando

[file=]Estado: A resolver o endereço de ftp.xxxx.xxx
Estado: Conectando 31.170.164.116:21...
Estado: Conexão estabelecida, esperando mensagem de boas-vindas...
Resposta: 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
Resposta: 220-You are user number 34 of 500 allowed.
Resposta: 220-Local time is now 17:58. Server port: 21.
Resposta: 220-This is a private system - No anonymous login
Resposta: 220 You will be disconnected after 3 minutes of inactivity.
Comando: USER xxxxxx
Resposta: 331 User xxxxx OK. Password required
Comando: PASS ********
Resposta: 230 OK. Current restricted directory is /
Comando: SYST
Resposta: 215 UNIX Type: L8
Comando: FEAT
Resposta: 211-Extensions supported:
Resposta: EPRT
Resposta: IDLE
Resposta: MDTM
Resposta: SIZE
Resposta: MFMT
Resposta: REST STREAM
Resposta: MLST type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
Resposta: MLSD
Resposta: AUTH TLS
Resposta: PBSZ
Resposta: PROT
Resposta: UTF8
Resposta: TVFS
Resposta: ESTA
Resposta: PASV
Resposta: EPSV
Resposta: SPSV
Resposta: ESTP
Resposta: 211 End.
Comando: OPTS UTF8 ON
Resposta: 200 OK, UTF-8 enabled
Estado: Conectado
Estado: Obtendo lista de pastas...
Comando: PWD
Resposta: 257 "/" is your current location
Comando: TYPE I
Resposta: 200 TYPE is now 8-bit binary
Comando: PORT 192,168,0,10,206,155
Resposta: 200 PORT command successful
Comando: MLSD
Resposta: 150 Connecting to port 52891
Resposta: 226-Options: -a -l
Resposta: 226 10 matches total
Estado: Listagem de pastas bem sucedida[/file]

Mas o que está dando o erro é o da Locaweb que ainda não acessa... Consigo acessar fora da rede, ou seja, o domínio lá está ok...

muchiba
(usa Debian)

Enviado em 02/12/2015 - 16:14h

Lauris,

Só tirando uma dúvida, já removeu a conta no filezilla e criou novamente? Verifiquei com um pessoal aqui que tbm já teve este problema e algumas vezes removendo a conta e criando de novo no filezilla resolvia.