Regra especifica para FTP

AndreBH
(usa Debian)

Enviado em 06/02/2014 - 08:23h

Bom dia Senhores,

Preciso criar uma regra no firewall e estou com dúvida em efetivar a mesma. Preciso acessar um servidor FTP e preciso liberar no firewall as portas de 60000 a 65535 para a porta 21. A porta 21 está liberada pois acessamos outros servidores FTP aqui, mas estou em dúvidas como criar a regra, direcionando esse range para a porta do ftp.

Se alguém puder contribuir, agradeço.

px
(usa Debian)

Enviado em 06/02/2014 - 09:50h

Bom se entendi direito você quer que seu servidor FTP só seja acessado caso a porta de destino seja entre 60000 e 65535 e vá para a 21, sendo isto corresponde a regra abaixo:

iptables -A INPUT -p tcp --sport 60000:65535 --dport 21 -j ACCEPT 

AndreBH
(usa Debian)

Enviado em 06/02/2014 - 10:46h

Apliquei a regra e não funcionou...

Eita configuração que está dando dor de cabeça.

px
(usa Debian)

Enviado em 06/02/2014 - 11:00h

Se puder poste seu script de firewall e explique melhor o objetivo desde FTP, pq não sei se capitei direito sua ideia.

px
(usa Debian)

Enviado em 06/02/2014 - 11:13h

Outra coisa, este acesso será interno, externo... será na mesma máquina? o roteador/modem já esta com a porta 21 aberta? esta porta não é bloqueada pelo seu provedor (geralmente links residenciais são bloqueados)??

AndreBH
(usa Debian)

Enviado em 06/02/2014 - 12:05h

Aqui utilizo o zentyal 2.2. Boa Parte das configurações são feitas no modo web, porém tem um arquivo chamado

/etc/zentyal/hooks/firewall.postservice

onde você cria regras customizadas. Preciso acessar o ftp o qual o ip dele é: 157.86.10.31

Já existe a seguinte regra para ele neste arquivo:


sudo iptables -t nat -I POSTROUTING -d 157.86.10.31 -j ACCEPT
sudo iptables -I FORWARD -d 157.86.10.31 -j ACCEPT


Se eu comento essa regra, o filezilla nem consegue carregar. Com essa regra ele conecta, mas na hora de listar as pastas, ele fica pensando.... e informa Falha na obtenção de lista de pastas


Meu cenário de rede é o seguinte:

Possuo um bloco de ip´s publicos. - Se tento conectar no ftp vai redondo...

Dentro da minha rede existe uma faixa de micros que não passam pelo proxy - Se tento conectar, fica pensando e falha na obtenção de pastas.

Micros que utilizam proxy também....

px
(usa Debian)

Enviado em 06/02/2014 - 12:12h

É por causa da regra FORWARD que esta com o ip externo... acresente outra regra como esta só que com o ip interno da máquina, ai os pcs poderão enviar os pacotes para o ftp

AndreBH
(usa Debian)

Enviado em 06/02/2014 - 13:25h

Outra regra de FORWARD ou a que você me passou inicialmente?

px
(usa Debian)

Enviado em 06/02/2014 - 13:40h

outra... uma assim:

iptables -I FORWARD -d 157.86.10.31 -j ACCEPT

Só que ao invés de 157.86.10.31... você coloca o indereço interno da placa de rede.

AndreBH
(usa Debian)

Enviado em 06/02/2014 - 14:03h

Nada...

Essa é a descrição ao acessar o ftp:


Estado: A resolver o endereço de pops.incqs.fiocruz.br
Estado: Conectando 157.86.10.31:21...
Estado: Conexão estabelecida, esperando mensagem de boas-vindas...
Resposta: 220 157.86.10.31 FTP server ready
Comando: AUTH TLS
Resposta: 234 AUTH TLS successful
Estado: A iniciar o TLS...
Estado: Verificando certificado...
Comando: USER lacenmg
Estado: Conexão TLS/SSL estabelecida.
Resposta: 331 Password required for lacenmg
Comando: PASS ***********
Resposta: 230 User lacenmg logged in
Comando: SYST
Resposta: 215 UNIX Type: L8
Comando: FEAT
Resposta: 211-Features:
Resposta: MDTM
Resposta: MFMT
Resposta: LANG fr-FR;zh-CN;ko-KR;zh-TW;ru-RU;bg-BG;ja-JP;it-IT;en-US
Resposta: TVFS
Resposta: UTF8
Resposta: AUTH TLS
Resposta: MFF modify;UNIX.group;UNIX.mode;
Resposta: MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
Resposta: PBSZ
Resposta: PROT
Resposta: REST STREAM
Resposta: SIZE
Resposta: 211 End
Comando: OPTS UTF8 ON
Resposta: 200 UTF8 set to on
Comando: PBSZ 0
Resposta: 200 PBSZ 0 successful
Comando: PROT P
Resposta: 200 Protection set to Private
Estado: Conectado
Estado: Obtendo lista de pastas...
Comando: PWD
Resposta: 257 "/" is the current directory
Comando: TYPE I
Resposta: 200 Type set to I
Comando: PASV
Resposta: 227 Entering Passive Mode (157,86,10,31,255,159).
Comando: MLSD

Erro: A conexão excedeu limite de tempo
Erro: Falha na obtenção da lista de pastas