Nao Acesso meu FTP de uma rede Externa

m4iir1c10
(usa Arch Linux)

Enviado em 31/03/2009 - 10:24h

Procure no proftpd.conf quais são os usuários e grupos que estão autorizados a acessar o ftp, dependendo de como esta configurado, o próprio proftpd pode estar recusando a conexão e não o firewall

eesm_redhat
(usa Arch Linux)

Enviado em 31/03/2009 - 10:29h

Blz meu veio
Eu acho que nao pode ser o meu proftpd pois se eu tentar acessar o ftp pela rede interna eu consigo nao consigo e via rede externa

vlww

ST. RaLF
(usa Arch Linux)

Enviado em 31/03/2009 - 14:00h

Retira os INPUT, e deixa somente o PREROUTING para a porta 20 e 21. E adiciona um FORWARD aceitando as conexões já estabelecidas.

eesm_redhat
(usa Arch Linux)

Enviado em 31/03/2009 - 14:24h

Blz meu veio

seguinte deixa ver se eu entendi, voce quer que eu coloque desta forma

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.1.1:21
iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 21 -i eth0 -j DNAT --to 192.168.1.1:21
iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 -d 201.37.150.150 --dport 21 -j DNAT --to 192.168.1.1:21
iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT

olha so eu coloquei daquela outra forma que tinha postado para vc, e agora qdo coloco o ip 201.xxx.xxx.xxx ele tenta conectar e cai por time out, nao da mais "conection refused"

Obrigado! pela ajuda que vc esta dando

eesm_redhat
(usa Arch Linux)

Enviado em 31/03/2009 - 14:34h

Tche

Voce acha que devo retirar algumas dessas regras parece estar meio com redundancia?

vlww

eesm_redhat
(usa Arch Linux)

Enviado em 31/03/2009 - 14:51h

Blz meu veio

tche seguinte nao sei se isso que voce quiz dizer, mais vo adicionar as seguintes linhas

iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 21 -i eth0 -j DNAT --to 192.168.1.1:21
iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 20 -i eth0 -j DNAT --to 192.168.1.1:20
iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT

eu retirei o meu INPUT para nao ficar o endereco de destino, o meu proprio host.

e isto neh?

vlwww

ST. RaLF
(usa Arch Linux)

Enviado em 31/03/2009 - 16:29h

Sim, seria isto, se deu time out, é porque alguma regra foi dropada, ou o redirecionamento não encontrou a máquina de destino.

Na primeira regra, cria uma regra para logar tudo, para ficar mais fácil a monitoração.

eesm_redhat
(usa Arch Linux)

Enviado em 31/03/2009 - 16:54h

Eaee cara, desculpa minha igorancia e que nao entendi, uma regra para aceitar tudo tipo:

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

se voce puder postar um exemplo para mim agradeco

ST. RaLF
(usa Arch Linux)

Enviado em 31/03/2009 - 16:57h

Sua politica esta definida para aceitar tudo, eu geralmente faço para dropar tudo.

Para logar, faço o seguinte
iptables -A INPUT -j LOG --log-prefix " INPUT "
iptables -A FORWARD -j LOG --log-prefix " FORWARD "
iptables -A OUTPUT -j LOG --log-prefix " OUTPUT "

eesm_redhat
(usa Arch Linux)

Enviado em 31/03/2009 - 17:05h

Entendi,

dai no caso teria que logar antes das minha regra que redireciono neh

iptables -A INPUT -j LOG --log-prefix " INPUT "
iptables -A FORWARD -j LOG --log-prefix " FORWARD "
iptables -A OUTPUT -j LOG --log-prefix " OUTPUT

iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 21 -i eth0 -j DNAT --to 192.168.1.1:21
iptables -t nat -A PREROUTING -p tcp -s 0.0.0.0/0 --dport 20 -i eth0 -j DNAT --to 192.168.1.1:20
iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT

ST. RaLF
(usa Arch Linux)

Enviado em 31/03/2009 - 17:28h

Isto.

Dependendo da sua distro, o log será o messages.log ou o iptables.log

eesm_redhat
(usa Arch Linux)

Enviado em 01/04/2009 - 13:50h

Eae cara blz

Tche seguinte nao funcionou, coloquei as regras, dai voltou a dar conection refused, e nao liberou as porta 21, dai coloquei novamente os inputs, so que mesmo assim da o erro do time out, abaixo segue como ficou

iptables -vnL (aparece isso)
Chain INPUT (policy ACCEPT 9448 packets, 4737K bytes)
pkts bytes target prot opt in out source destination
9479 4740K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix ` INPUT '
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:631
34 4400 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:1024
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:1025
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:3130
0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:4287

Chain FORWARD (policy ACCEPT 2319 packets, 463K bytes)
pkts bytes target prot opt in out source destination
2325 464K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix ` FORWARD '
6 360 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21

Chain OUTPUT (policy ACCEPT 10140 packets, 4922K bytes)
pkts bytes target prot opt in out source destination
10139 4922K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix ` OUTPUT '

iptables -t nat -L
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:webcache redir ports 80
DNAT tcp -- anywhere anywhere tcp dpt:ftp to:192.168.xxx.xxxx:21
DNAT tcp -- anywhere anywhere tcp dpt:ftp to:192.168.xxx.xxx:21
DNAT tcp -- anywhere c9259696.virtua.com.br tcp dpt:ftp to:192.168.xxx.xxx:21

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:5900

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Obs
c9259696.virtua.com.br e o netvirtua